Mikrotik routerboard настройка: Базовая настройка роутера mikrotik

Настройка роутера Mikrotik на примере RB951Ui-2HnD

Оборудование Mikrotik пользуется заслуженной популярностью у профессиональных сетевых инженеров, благодаря редкому сочетанию богатой функциональности, стабильной работы и невысокой цены. Однако что хорошо инженеру, то рядовому пользователю — если не смерть, то боль и страдания как минимум. Mikrotik — оборудование от гиков для гиков, поэтому настраивать его значительно сложнее, чем продукты конкурентов. На этапе начальной настройки и «засыпается» большинство пользователей, решивших причаститься к Mikrotik.

Тем не менее, процесс хоть и нетривиален, но вполне осваиваем. Разберем небольшой пример на базе устройства Mikrotik RB951Ui-2HnD.

Подготовка

1. Для начала скачиваем WinBox — утилиту для управления устройствами Mikrotik. Работать с ней значительно удобнее, чем через web-интерфейс, установки она не требует. Берем отсюда: http://www.mikrotik.com/download

2. Включаем роутер, к 1-му порту подключаем кабель провайдера Интернет, компьютер — в любой другой.

3. Запускаем WinBox. В нижней секции во вкладке Neighbors, даже при отсутствии соединения с роутером по IP, его будет видно по MAC-адресу:

Логин по умолчанию — admin, пароля нет. Выбираем наше устройство и жмем Connect.

4. После входа в устройство, нам откроется окошко RouterOS Default Configuration. Удаляем конфигурацию по умолчанию, нажав на Remove Configuration:

Из админки нас выбросит, входим заново, как в п. 3.

Настройка сетевых интерфейсов в Mikrotik RB951Ui-2HnD

1. Открываем Interfaces, видим такую картину:

2. По умолчанию все проводные сетевые интерфейсы в Mikrotik называются etherN. Оперировать такими названиями неудобно, поэтому откроем интерфейс ether1, к которому у нас подключен кабель провайдера, и переименуем его в WAN. В принципе, делать это необязательно — название ни на что не влияет. Но зато сильно упрощает администрирование роутера в будущем.

3. Поочередно открываем интерфейсы ether2 — ether5, переименовываем их в LAN1 — LAN4. На интерфейсе LAN1 параметр Master Port оставляем в положении «none», а на интерфейсах LAN2 — LAN4 переключаем параметр Master Port в положение LAN1:

Расшифруем то, что было сделано: по умолчанию в роутерах Mikrotik порты не объединены в коммутатор, т.е. не умеют общаться друг с другом. За работу коммутатора отвечает специальный аппаратный чип коммутации, который позволяет разгрузить CPU устройства от коммутации пакетов между портами свитча. Однако работать он будет только в том случае, если будут назначены Master и Slave порты (что и было нами сделано).

Второй вариант создания свитча — программный — предусматривает объединение портов в Bridge. В этом случае коммутацией пакетов будет заниматься CPU, а скорость работы устройства будет существенно ниже максимально возможной, что особенно хорошо заметно на гигабитных портах.

4. Заодно включим беспроводной интерфейс. К его настройке мы вернемся позже:

5. Присваиваем ему более понятное название:

6. Создаем новый Bridge. Для этого открываем пункт меню Bridge и жмем +:

7. Присваеваем мосту название — LAN (т.к. внутри этого моста будут «ходить» пакеты по контуру нашей локальной сети):

8. Переходим во вкладку Ports, жмем на +, чтобы добавить порты в мост:

Из кластера портов LAN1 — LAN4 нам достаточно добавить в мост только LAN1, поскольку для LAN2 — LAN4 он уже является мастер-портом (см. п. 3 данного раздела). Соответственно, параметр Interface — LAN1, Bridge — LAN. Повторяем такое же действие для интерфейса WLAN:

9. Таким образом получаем следующий список портов внутри моста LAN:

Настройка параметров TCP/IP на Mikrotik

1. Присвоим роутеру IP-адрес. В нашем примере это будет 10.20.30.254 с маской 255.255.255.0 (или /24; вообще запись /24 эквивалентна записи /255.255.255.0, RouterOS понимает оба варианта. Подробности бесклассовой адресации можно выяснить здесь: https://ru.wikipedia.org/wiki/Бесклассовая_адресация). Для этого в меню IP -> Addresses добавим новый адрес и присвоим его интерфейсу LAN (ранее созданный мост):

2. Присвоим внешнему интерфейсу роутера IP-адрес. В данном примере мы рассматриваем сценарий, когда провайдер Интернет предоставляет нам прямой доступ в сеть с белым IP-адресом. Для этого снова жмем на + в меню IP -> Addresses, вводим выданный провайдером адрес и маску, а в качестве интерфейса выбираем WAN:

3. Наш список адресов принял следующий вид:

4. Указываем роутеру, какими DNS-серверами пользоваться ему самому через меню IP -> DNS:

5. Укажем шлюз провайдера Интернета. Для этого создадим в меню IP -> Routes новый маршрут, нажав +, присвоим параметр Dst. Address — 0.0.0.0/0, Gateway — выданный нам провайдером:

Настройка DHCP на Mikrotik

1. Пора настроить DHCP-сервер, который будет раздавать IP-адреса в локальной сети. Для этого открываем IP -> DHCP Server и нажимаем кнопку DHCP Setup:

2. Выбираем интерфейс, на котором будут раздаваться IP-адреса. В нашем случае — LAN (мы же хотим раздавать IP-адреса только внутри локальной сети?):

3. Вводим адрес сети и ее маску:

4. Вводим адрес шлюза сети, т.е. нашего роутера:

5. Вводим пул адресов, которые роутер будет раздавать подключенным к сети устройствам:

6. Вводим адреса DNS-серверов (на скриншоте — DNS-серверы Google):

7. Вводим срок, на который устройствам выдаются адреса (в формате ДД:ЧЧ:ММ):

8. И после очередного нажатия кнопки Next работа мастера настройки DHCP заканчивается:

Настройка NAT на Mikrotik

1. Настраиваем NAT. В меню IP -> Addresses во вкладке NAT жмем +. Во вкладке General параметр Chain ставим в положение scrnat, Out. Interface — в WAN:

2. Переходим во вкладку Action, и ставим параметр Action в положение masquerade:

Теперь у нас должен появиться доступ в Интернет:

Настройка Wi-Fi на Mikrotik

1. Теперь настроим Wi-Fi. Напомним, что в п. 4-5 раздела «Настройка сетевых интерфейсов в Mikrotik RB951Ui-2HnD», мы уже включили беспроводной интерфейс и присвоили ему новое название.

Теперь открываем меню Wireless, вкладку Security Profiles, а в ней — профиль default.
Отмечаем галочками:
Authentication Types — WPA2 PSK
Unicast Ciphers и Group Ciphers — aes ccm и tkip

В поле WPA2 Pre-Shared Key вводим желаемый пароль для беспроводной сети:

2. Теперь открываем интерфейс WLAN, переходим во вкладку Wireless, выбираем Mode — ap bridge, Band — 2GHz-B/G/N, вводим SSID — название беспроводной сети:

Если у вас есть под рукой компьютер с Wi-Fi, то после этого вы сможете увидеть на нем новую сеть:

Наводим марафет

1. Мы на финишной прямой. Настроим часовой пояс через System -> Clock, где снимем автоопределение часового пояса — Time Zone Autodetect, и выберем нужный часовой пояс (в нашем случае — Europe/Moscow):

2. Установим пароль администратора. Для этого зайдем в System -> Password, где и введем новый пароль:

3. И, наконец, отключим ненужные сервисы для доступа, дабы сделать наш Mikrotik менее уязвимым. Лишними можно считать все сервисы, кроме WinBox, но в данном случае следует исходить из вашей конкретной ситуации. Их список находится в IP -> Services. Нужные оставляем, ненужные выключаем крестиком:

На этом процесс базовой настройки можно считать завершенным! «Долго ли умеючи» (с).

Если вам нужна помощь в конфигурировании Mikrotik любой сложности, то на этот случай у нас есть сертифицированные специалисты, которые смогут помочь.

Также у нас можно приобрести любое современное устройство Mikrotik, а также заказать его монтаж и настройку «под ключ»: http://treolink.ru/mikrotik

МИКРОТИК- БАЗОВАЯ НАСТРОЙКА (Mikrotik от А до Я)

Internet для современных людей стал не только незаменимым и необходимым атрибутом, но и предметом первой значимости. Таким образом, заменив собой большинство других вещей, используемых ранее. Поэтому качественный и скоростной Интернет дорогого стоит. Для построения беспроводной сети, во-первых, необходимо только проверенное и надежное оборудование. Во-вторых, интегратор, который воплотит Ваш проект с учетом всех требований. Приобрести необходимое сетевое оборудование wi fi для интернет сети в свободной продаже не так просто. Не теряйте Ваше время на поиски зря, обратитесь в Интернет магазин mstream.com.ua. У нас найдете активное и пассивное оборудование в широком ассортименте от мировых брендов. Оборудование wi-fi для ресторана и гостиниц и ip видеонаблюдение — Охранные системы. Оптический кабель, PON оборудование, PON устройства, OLT, оборудование CWDM — оптическая связь. Аккумуляторы, патчкорды кабель и аксессуары представлены в нашем он-лайн интернет каталоге Мстрим.

Мы сотрудничаем только с проверенными производителями. С нами — Ubiquiti, Mikrotik, Cambium Networks, D-link, Hikvision, Dahua, ZKTeco, Ok-net, ICOM, NSR Marine, Furuno, Zenitel, Cobham Sailor. В результате чего, все оборудование для радиосвязи, морской навигации, беспроводной или локальной сети соответствуют самым высоким стандартам качества. Заказать wifi интернет оборудование можно как в розницу так и оптом (интернет провайдеры, интеграторы). Для постоянных клиентов в интернет магазине Mstream действует гибкая система скидок и отсрочек по платежу. Цена на wi-fi оборудование порадуют даже розничных покупателей. Наша задача не только развиваться самим, но и помогать развивать бизнес наших клиентов. Системы безопасности в Украине еще не настолько высоком уровне. Наша основная цель это глобальная интеграция новых технологий и разработок на украинском рынке технологий.

Если купить у нас оборудование для wi-fi сети, вы гарантировано получаете очень надежные и качественные решения от лучших мировых производителей в самые короткие сроки. Огромный ассортимент, многолетний опыт и прямые поставки оборудования Wifi от производителя. В общем, все это позволяют нам, как системному интегратору, удовлетворить любые проекты наших клиентов. Профессиональные консультанты предоставят полную консультацию при выборе нужного сетевого оборудования с учетом индивидуальных проектов и пожеланий клиента. Следовательно сэкономит не только ваши силы, но и время. Доставка сетевого оборудования по всем городам Украины — Одесса, Киев, Харьков, Херсон, Кривой Рог, Кропивницкий, Николаев, Днепропетровск, Запорожье, Винница, Чернигов, Черкассы, Полтава, Мариуполь, Львов, Тернополь, Краматорск, Новомосковск, а так же Приднестровье, Тирасполь, Молдова (Moldova) и другие.

Копирование любой информации с сайта без размещения активной обратной ссылки запрещено.

План настройки Mikrotik RouterOS

Все самое необходимое для настройки Mikrotik RouterOS Вы сможете найти в нашем пособии «Микротик.Базовая настройка». Настройка от А до Я с разбором функций и проблем, которые могут возникнут у простого пользователя в процессе внедрения Mikrotik под свои задачи. На сайт руководство Mikrotik будет вылаживаться по частям, которые наведены в плане. Mstream делает шаг помощи для своих клиентов. С нашим руководством настройка Mikrotik RouterOS не станет помехой для достижения поставленных целей. — mikrotik настройка mikrotik wiki русский wiki mikrotik ru mikrotik документация на русском —

Что это?
 Это краткое руководство по настройке Микротик.  
 Только самое основное по мере важности.

1. Первый запуск на примере Микротик RB751.

1.1. Подготовка  
     1.2. Скачиваем прошивку
     1.3. Ресет
     1.3. Подключаем роутер.
     1.4. Скачиваем WinBox
     1.5. Запускаем WinBox.exe.  
     1.6. Прошиваемся.

2. Смена MAC

3. Подключаемся к провайдеру

3.1. Динамический IP.   
     3.2. Статический IP.   
     3.3. PpoE.  
     3.4. PPTP, L2TP. VPN по логину и паролю
     3.5. PPTP, L2TP Dual Access.  
     3.6. Настраиваем DNS. Проверяем сеть и DNS с помощью Ping.
     3.7. Время на роутере.  NTP сервера времени

4. Настраиваем локальную сеть.

4.1. Статический IP у клиентов.
     4.2. Динамический IP у клиентов. Выдача IP по MAC.    
     4.3. Блокировка левых MAC+IP. ARP-лист. Reply-only.
     4.4. Настраиваем WiFi на раздачу. Режим обычного роутера.

5. Пускаем нашу локалку в интернет.

6. Типичные проблемы и их решения

6.1. Как ходит трафик в Микротик? 
6.2. FirewallFilter — блокируем и разрешаем. 
6.3. NAT. Проброс портов. Добираемся из интернета к компам в локалке. 
6.4. Маркировщик Mangle. Следим и помечаем трафик. 
6.5. Address List. Для чего он? 
6.6. Нарезаем скорость. Simple Queues.   
6.7. Нарезаем скорость. Tree Queues.  
6.8. Включаем Графики.  
6.9. IPTV настройка.  
6.10. Резервирование 2+ каналов.  
6.11. Балансировка 2+ каналов.  
6.12. Запрет определенных сайтов по имени.  
6.13. Определяем у кого стоят роутеры по TTL.  
6.14. Блокируем порты спамеров.  
6.15. Настройка Static DNS.  
6.16. Кешируем с помощью Web-Proxy.  
6.17. Редирект на страницу-напоминалку.  
6.18. Шейпим торренты. 

8. Настройка WiFi

     8.1. В режиме AP Bridge  (раздачf инета по Wi-Fi)
     8.2. В режиме Station Bridge  (прием интернета по WiFi)

9. Настройка USB модемов

10. Дополнительный функционал.

10.1. Web-Proxy

11. Инструменты-помощники.

11.1. Ping. Arp-Ping. Traceroute.

11.2. IP Scan.

11.3. Watch Dog. NetWatch.

12. Терминал. Telnet. SSH. FTP. API.

13. Скрипты

14. Объединяем офисы.

14.1. Switch

14.2. VLAN

14.3. EoIP — связываем удаленные компы в однин сегмент сети

14.4. IPIP

14.5. PpoE, PPTP, L2TP

14.6. Bridge

15. Маршрутизация

15.1. BGP 15.2. OSPF 15.3. MPLS 15.4. RIP

16. Учет траффика.

     16.1. NetFlow 
     16.2. Radius

17. Биллинговые системы.

Базовые настройки Mikrotik RouterOS: начальная настройка

Инструкции в этой статье, одинаково справедливы для произведения начальной настройки практически всех моделей маршрутизаторов компании Mikrotik.

Процесс начальной настройки состоит из нескольких основных этапов:

•  включение устройства;
•  подключение к маршрутизатору;
•  сброс настроек;
•  обновление программного обеспечения;
•  подключение к провайдеру;
•  настройка локальной сети;
•  настройка беспроводной сети;
•  настройка Firewall и NAT;

Включение устройства

Первым делом, мы должны подготовить и включить наш роутер. Для этого подключаем кабель от провайдера в Ethernet порт №1 и соединяем заранее подготовленным кабелем Ethernet порт №2 с сетевой картой нашего компьютера. И только после этого, подключаем блок питания к соответствующему разъему. После включения питания, должен загореться индикатор питания.

Подключение к маршрутизатору

Настройка маршрутизаторов Mikrotik может осуществляться несколькими способами: через web-интерфейс, посредством фирменной утилиты Winbox или через Telnet. Второй вариант предпочтительней, так как намного удобнее и кроме того, в случае отсутствия конфигурации  беспроводного оборудования Mikrotik, оно может не иметь IP адреса и подключение к нему через браузер, будет не возможным. Поэтому, дальше мы будем рассматривать процесс конфигурирования именно через Winbox.

Утилиту Winbox можно заранее скачать с сайта www.mikrotik.com.

Если вы этого не сделали, ничего страшного. Ее можно скачать непосредственно с роутера. Для этого нам надо зайти на него через браузер. У нового устройства, по умолчанию IP адрес 192.168.88.1. Мы набираем его в адресной строке браузера и попадаем на web-интефейс устройства Mikrotik.

Теперь мы можем запустить утилиту.

Первое подключение, мы должны осуществить указав IP адрес роутера. Дальнейшие подключения, лучше осуществлять по MAC адресу. (Почему, вы можете узнать из этой статьи.)

Сброс настроек

После первого включения нам будет предложена конфигурация по умолчанию. Но лучше ее не использовать и настроить все самому. Для этого сбрасываем настройки кнопкой Remove Configuration.

Соединение с роутером, после этого, будет разорвано. Подключаемся повторно, на этот раз, уже используя MAC адрес.

Обновление программного обеспечения

Эту процедуру, можно провести в любой момент, однако, мы рекомендуем это сделать сразу. Чтобы обновить программное обеспечение до самой последней версии, нас нужно скачать файл обновления .npk для своего беспроводного оборудования Mikrotik на сайте производителя.

После этого, переходим в раздел Files и перетаскиваем скачанный файл в открывшееся окно.

После того, как файл будет “залит” в роутер, мы должны его перегрузить System -> Reboot.

По окончанию перезагрузки, в очередной раз подключаемся к устройству и завершаем процедуру обновления ПО: System -> Routerboard и нажимаем кнопку Upgrade

Возможно, после обновления ПО потребуется повторный сброс конфигурации по умолчанию.

Подключение к провайдеру

Подключение к провайдеру, одна из самых ответственных процедур в процессе настройки нового маршрутизатора. Однако эта процедура может проводиться не только в момент первичной настройки, но и в процессе использования устройства, например при смене провайдера или при подключении ко второму провайдеру, в качестве дополнительного или резервного канала Интернет. Кроме того, существует несколько возможных вариантов подключения и разных протоколов, которые используют провайдеры. Именно поэтому описание этого процесса, вынесено в отдельную статью, после прочтения которой, и окончания настройки подключения к провайдеру, возвращайтесь для продолжения первичной настройки.

Настройка локальной сети

Настройка локальной сети начинается с объединения Ethernet портов в режиме Swich. Для этого открываем раздел Interfaces и двойным кликом, открываем свойства интерфейса ether3, где на вкладке General, в качестве Master Port выбираем eather2. Повторяем эту процедуру для всех портов, которые нужно объеденить в коммутатор. Не забываем, что порт ether1 у нас остается для подключения к провайдеру.

Если ваш роутер оборудован беспроводным модулем Wi-Fi, то вы должны объединить наши проводные и беспроводные интерфейсы в сетевой мост. Если же в вашем роутере нет радиокарты, пропустите этот шаг и переходите к настройке IP адресов.

Откройте раздел Bridge и создайте новый мост при помощи кнопки “+” на вкладке Bridge. Yt Не меняя никаких параметров, сохраните новый мост.

Перейдите на вкладку Ports, где добавьте новый порт, кнопкой “+”.

Где на вкладке General выберите значение параметра Interface — ether2, а в качестве Bridge, выберите созданный нами мост bridge1.

И повторите процедуру, только для Interface — wlan2.

Далее мы должны назначить нашей сети IP адрес. Открываем раздел IP -> Addresses, и в открывшемся окне, при помощи кнопки “+” добавляем новые адреса, для нашей будущей сети.

И в случае если роутер поддерживает беспроводную связь и мы создали мост, то в качестве Interface мы выбираем наш мост, например bridge1, в противном случае, выбираем наш интерфейс свича, обычно это ether2.

Переходим к настройке DHCP сервера в нашем маршрутизаторе.

Переходим в раздел IP -> DHSP Server и нажимаем кнопку DHCP Setup. В открывшемся окне, в списке DHCP Server Interface, как и в предыдущем случае, выбираем мост bridge1, если он у нас есть, или ether2, если у нас нет беспроводных интерфейсов.

И нажимаем кнопку Next. Далее следуют несколько похожих шаков, после каждого, мы должны нажимать кнопку Next для продолжения.

Следующим пунктом следует сеть адресов для DHCP сервера, например 192.168.0.0/24

Потом адрес шлюза (как правило IP самого роутера, в нашем случае 192.168.0.1)

Следующий шаг, это диапазон IP адресов, которые будет раздавать DHCP сервер, например 192.168.0.2-192.168.0.100

Далее адреса DNS серверов, если вы уже подключились к провайдеру, то они будут автоматически подставлены.

И последним, будет время для резервирования IP адресов.

После чего, настройка будет завершена.

На этом будет закончен и процесс настройки локальной сети.

Настройка беспроводной сети

Как и в случае с подключением к провайдеру, настройка беспроводной сети, это отдельная тема, которая рассмотрена в отдельной статье. Если у вас есть беспроводной модуль, настройте его по этой инструкции. После чего, возвращайтесь для окончания начальной настройки.

Настройка Firewall и NAT

 Это последнее действие которое нам надо произвести. Однако оно чуть ли не самое важное в настройке.

Тут тоже может быть несколько вариантов. Например, если вы хоть немного понимаете, что к чему, то вы можете зайти в раздел IP -> Firewall и все настроить самостоятельно. Однако, это настолько сложная процедура, что я советую сделать это автоматически.

Для этого открываем браузер и вводим адрес роутера 192.168.0.1/cfg, где на открывшейся странице вводим имя пользователя по умолчанию “admin” и нажимаем кнопку Log In. Переходим на вкладку Firewall где в списке Public Interface выбираем тот порт, к которому у нас подключен кабель провайдера, например ether1 (если подключение к провайдеру осуществляется по протоколу PPPoE, то выбираем имя PPPoE соединения) и ставим все три галочки напротив Protect router, Protect LAN и NAT, после чего, нажимаем кнопку Apply.

Закрываем окно браузера и в утилите Winbox в разделе IP -> Firewall у нас должны появиться записи.

На этом, первичную настройку, можно считать оконченной.

Рекомендуем вам создать резервную копию вашей конфигурации (Backup), для того, что бы в случае сбоя, не производить все настройки заново. Как это сделать, читайте в этой статье.

Если вы хотите узнать больше о настройке оборудования компании Mikrotik, читайте наши статьи по расширенной настройке Mikrotik RouterOS.

Алексей С., специально для LanMarket

Простая настройка маршрутизаторов Микротик RB951 hap lite hex lite rb750 rb2011 Как быстро настроить роутер Микротик Mikrotik

Любой маршрутизатор Микротик может работать в нескольких режимах:

CPE (Customer Premises Equipment)- т.е. когда маршрутизатор подключен к провайдеру по беспроводному интерфейсу и раздает интернет на LAN порт(ы).

PTP Bridge (Point to point bridge)- hежим «прозрачного» радиомоста между двумя сетями (PtP). Возможно подключение только одного клиента. Если маршрутизатор подключен со стороны провайдера, то он выступает в роли Server AP, если со стороны клиента, то в роли Client AP (или можно скзать CPE). 

Home AP (Home Access Point)- маршрутизатор/точка дочтупа офисной или домашней сети. 

WiSP AP (Wireless Internet Service Provider Access Point)- в основном отличается от режима Home AP поддержкой пропиетарных поллинговых протоколов WiFi TDMA — nv2 и nstream.

Все маршрутизаторы Микротик по умолчанию на LAN- интерфейсе имеют адрес 192.168.88.1,  логин admin и пустой пароль.

Если что-то пойдет не так, то Вы всегда сможете сбросить настройки маршрутизатора Микротик к заводским.

Подключите патчкорд к сетевой плате вашего компьютера и к любому из портов роутера Mikrotik (кроме первого). Подключать компьютер к первому порту роутера нужно только в случае перепрошивки или восстановления маршрутизатора Mikrotik при помощи программы Netinstall.

Кабель приходящий от провайдера, включите в первый порт роутера Микротик. Теперь можно включать питание роутера.

Если ваш провайдер раздает адреса автоматически и не требует регистрации оборудования по МАС -адресу, а также если в свойствах сетевого подключения вашего компьютера стоит автоматическое получение айпи- адреса и адреса DNS-сервера, то после загрузки роутера, ваш компьютер должен сразу получить доступ к сети интернет.

А теперь подробнее о том как быстро настроить роутер Микротик.

Откройте вкладку «Сетевые соединения» в панели управления и выберите LAN интерфейс, к которому вы подключили патчкорд.

Щелкнув правой кнопкой мыши, выберите Свойства и в появившемся окне Протокол Интернета версии 4

Установите свойства сетевого подключения как показано ниже.

Сохраните настройки.

После этого вернитесь к сетевым подключениям ,и выбрав LAN интерфейс, проверьте его состояние (щелкнув правой кнопкой мыши и выбрав пункт меню «Состояние«). Если вы все сделали правильно, то должны увидеть следующую картинку:

Теперь запустите любой браузер и в адресной строке наберите адрес http://192.168.88.1

Вы увидите окно входа на веб-интерфейс маршрутизатора Микротик.

Быстро настраивать маршрутизаторы Микротик можно не только при помощи веб-интерфейса, но и при помощи замечательной утилиты Winbox, которую можно скачать из памяти роутера, кликнув на иконке:

или с сайта компании Mikrotik

Запустите Winbox, перейдите на вкладку Neighbors и нажмите Refresh.

Вы увидите айпи-адрес и МАС-адрес вашего маршрутизатора Микротик в списке обнаруженных в сети устройств.

Вы можете подключиться к нему по МАС-адресу или по ай-пи адресу.

Лучше подключаться к роутерам Mikrotik по МАС-адресу. В этом случае при смене сетевых настроек на LAN -интерфейсе линк с роутером Mikrotik теряться не будет.

Для хода в интерфейс настройка роутера Микротик нажмите Connect

Вы увидите следующее начальное окно настроек маршрутизатора Микротик.

Вам предлагается начать настройку с конфигурацией по- умолчания или без нее. Если Вы собираетесь использовать маршрутизатор Микротик в режите HOME AP или WISP AP, то лучше нажать ОК. Если в режимах CPE или PTP bridge, то можно нажать Remove Configuration.

Перейдем на вкладку Quick Set

Здесь мы видим настройки нашего роутера Микротик.

Все необходимые настройки для соединения наш роутер получил  от провайдера по DHCP. В данном случае наш роутер является и DNS- сервером (что видно из свойств сетевого соединения  на LAN порту нашего компьютера).

А как настроить роутер Mikrotik, если наш провайдер  не раздает адреса по DHCP ?

На скриншоте ниже пример такой настройки со статическими адресами.

В данном случае провайдер выделил белый статический айпи-адрес 178.23.151.100, маска подсети 255.255.255.192 , шлюз 178.23.151.99, и в качестве DNS — серверов указаны три адреса  8.8.8.8 и 4.4.4.4 (адреса публичных DNS- cерверов  компании google)  и один адрес DNS- сервера нашего провайдера 178.23.151.128

В конфигурации по- умолчанию (которую мы выбрали) маршрутизатор выполнет роль DNS — сервера. Иногда имеет смысл ее отключить, сделав так, чтобы маршрутизатор раздавал клиентам по DHCP адреса сторонних DNS-серверов. Эту возможность можно настроить в меню IP/DHCP server и IP/DNS

Обратите внимание, что маршрутизаторы Микротик имеют два разных MAC-адреса (по одному на каждом интерфейсе) . При необходимости МАС адрес легко изменить.

Также в разделе Local Network мы видим, адрес маршрутизатора на LAN интерфейсе (192.168.88.1) ,  видим что включена роль DHCP — сервера и адреса раздаются в диапазоне 88.10-88.254, также видим что включен NAT.

Если вам надо изменить адресное пространство на LAN -интерфейсе, то это можно сделать прямо на этой вкладке.

Настройка  WiFi (подключения к  беспроводной сети).

В поле Network Name укажем SSID (широковещательное имя) wifi сети.

Можно выставить нужную частоту, но для домашнего или офисного использования лучше оставить значение  auto, чтобы маршрутизатор Микротик сам выбирал наименее загруженный канал.

Выбор страны влияет на регулировку максимальной мощности радиомодуля и на выбор допусустимых частот. Хотите иметь возможность выбора этих параметров- не трогайте эту настройку.

Далее включим все доступные протоколы безопасности и введем пароль для подключения к беспроводной сети. Если хотите, чтобы сеть была открытой- не меняйте эти настройки.

Если вам нужно разрешить подключение к вашей беспроводной wifi сети только устройствам с определенными МАС-адресами (фильтрация по MAC-адресам), то поставьте галочку в поле Use Access List. В дальнейшем список разрешенных МАС-адресов добавляйте в пункте меню Wireless на вкладке Access List

Для сохранения настроек нажмите Apply в правой части окна

Для расширенных настроек wifi сети маршрутизатора Mikrotik надо перейти в меню Wireless, выбрать wlan1 интерфейс и открыть окно настроек

Включите режим Advanced mode.

Для регулировки мощности радиомодуля перейдите на вкладку Tx Power

По-умолчанию мощность радиомодуля маршрутизатора Микротик стоит 17dBm, что соответствует 100мВт.

Если вам недостаточно этой мощности, то выберите для Tx Power Mode значение all rates fixed и в поле Tx Power поставьте нужную мощность в диапазоне 17-27 dBm

27dBm соответствует макимально возможной мощности радиомодуля роутера Микротик — 1000 мВт. Подробнее о переводе dBm в мВт можно прочитать здесь.

Не устанавливайте мощность радиомодуля больше чем это необходимо для устойчивой работы устройств в вашей wifi сети (проверяется экспериментальным путем) .

Повышение излучаемой мощности означает также и повышение чувствительности радиомодуля- т.е. меньшую помехозащищенность беспроводного канала и может приводить к падению скорости беспроводного соединения (особенно в многоквартирных домах с большим количеством активных WiFI роутеров работающих на одних и тех же частотах). Кроме того микроволновое излучение большой мощности  может влиять на здороье.

Перейдите на вкладку Advanced и включите режим защиты от скрытых узлов — в этом случае роутер сам будет определять очередность обращения к нему подключенных беспроводных клиентов.

Стандарт 802.11  – это единая среда передачи данных и клиенты сами определяют между собой, кто и когда будет производить запись, Но есть один нюанс: это условие будет работать, только если клиенты видят друг друга напрямую. Если же два клиента начнут писать одновременно, то мы получаем коллизию.

Т.е. когда два устройства одновременно начинают передачу на одной и то же частоте, то в результате интерференции волн роутер воспринимает это не как два отдельных сигнала , а как помехи.

Для сохранения настроек нажмите Apply или Ok.

Поллинг

Здесь самое время рассказать о поллинге. Для решения проблемы скрытых узлов было придумано решение — поллинг. Все поллинговые протоколы основаны на идее TDMA (Time Division Multiple Access — множественный доступ с разделением по времени).  Это когда базовая станция (маршрутизатор) каждому абоненту выделяет временной слот, в течение которого абоненту рарешена передача. Таким образом в каждый момент времени передачу ведет только один абонет.

В отличии от протокола WiFi 802.11 , все производители беспроводного оборудования разработали свои несовместимые между собой поллинговые протоколы. У Mikrotika это nstream и его дальнейшее развите- протокол nv2. У Ubiquiti это протокол Airmax, а  у LigoWave (Deliberant) протокол iPoll. 

Сравнивая между собой эти протоколы, следует отметить, что IPoll имеет преимущество — более сильную помехозащищенность и, как следствие, оборудование LigoWave лучше работет в условиях сильной зашумленности и отсутствия прямой видимости между абонентом и базовой станцией. В протоколе Airmax есть возможность устанавливать приоритеты для абонентских устройств в зависимоти от их удаленности от базовой станции, что позволяет сокращать временные задержки и увеличивает полезный трафик базовой станции. Таким образом на оборудовании Ubiquiti целесообразно строить беспроводные сети когда абоненты имеют разную удаленность от базовой станции.

Ну и возвращаясь к Микротику резюмируем, что если в качестве беспроводных клиентов будут выступать устройства Микротик, то для увеличения пропускной способности беспроводной сети нужно вместо стандартного 802.11 использовать протокол nv2. Сравнительные тесты показывают, что в условиях сильной зашумленности скорость передачи в nv2 может быть на 40% выше по сравнению с 802.11.

Superchannel

Раскажем о еще одной интересной особенности оборудования Микротик — а именно о расширенном частотном диапазоне- Superchannel.

Стандарный протокол 802.11 определяет 13 каналов в диапазоне частот от 2412 до 2462 МГЦ. Это так называемые indoor каналы- именно на них работают все домашние роутеры.

Включив на вкладке Wireless опцию superchannel, мы получим возможность выбирать канал в расширенном  частотном диапазоне  от 2312 до 2732 МГц.

К сожалению, большинство беспроводных WiFi устройств не поддерживает эту возможность и использовать ее можно только с устройствами Mikrotik, Ubiquiti, Deliberant. (у всех производителей она называется по разному, но суть одна и та же).

Сохранение и восстановление конфигурации и настроек маршрутизаторов Mikrotik

Вы всегда можете сохранить настройки в бинарный файл и восстановить нужную вам конфигурацию.

Для сохранения конфигурации войдите в меню Files, потом нажите Backup, введите имя файла и нажмите Backup.

Файл с конфигурацией будет храниться на жестком диске маршрутизатора пока вы его не удалите принудительно или не сделаете repartitition жесткому диску . Сброс конфигурации при помощи кнопок RESET не приводит к удалению файлов с конфигурациями.

Данные в файле хранятся в бинарном виде и имеют нечитабельный в текстовом редакторе вид.

Этот файл может быть сохранен на локальном компьютере просто путем его перетаскивания в нужную папку. В случае поломки маршрутизатора этот файл может быть загружен в новый ТОЧНО ТАКОЙ ЖЕ  маршрутизатор и конфигурация восстановлена. Еще раз повторимся что корректно конфигурация роутера может быть перенесена только в точно такой же роутер. Например из RB951ui только в RB951ui. При этом новый роутер получит и МАС-адреса старого роутера.

Для восстановления конфигурации из бинарного файла нужно просто войти в Files , выбрать нужный файл и нажать Restore

Если вы хотите сохранить конфигурацию в текстовом файле в виде команд (скриптов настройки), то вам нужно использовать пункт меню NewTerminal. Появится окно терминала и в командной строке ввести команду export  file FIle_name.rsc. После того как команда выполнится, вы можете открыть окно с файлами маршрутизатора и в списке файлов добавится ваш файл с сохранеными настройками . Этот файл также может быть «перетащен»  на локальный компьютер и открыт в любом текстовом редакторе.

При необходимости перенести эту конфигурацию на любой другой роутер Микротик, можно текст из этого файла скопировать в буфер обмена и просто вставить в окно терминала нужного роутера. Либо можно сохранить файл с конфигурацией на жесткий диск нужного роутера, открыть  терминал и набрать команду import  FIle_name.rsc

Подробнее об управлении конфигурациями роутеров Mikrotik можно прочесть на официальном сайте RouterOS

Обновление firmware (прошивки, микропрограммы) маршрутизаторов Mikrotik

Заходите на сайт http://www.mikrotik.com/download , выбираете пакет mipsbe , Main Package и загружаете на локальный компютер  файл с именем routeros-mipsbe-X.XX.npk. После этого копируете файл с прошивкой на жесткий диск роутера (если через Winbox, то просто перетащив его в окно Files) ,  а после этого перезагружаете роутер, выбрав в меню System/Reboot

При перезагрузке произойдет обновление firmware роутера.

Для  того , чтобы откатиться  (восстановить) на более раннюю версию RouterOS, загрузите ее на жесткий диск роутера Микротик, откройте окно терминала и воспользуйтесь командой /system package downgrade.

Когда закончите настраивать роутер Микротик, не забудьте установить пароль.

Настройка интернета на микротик — Первый Сервисный Провайдер

Добрый день, коллеги!

В предыдущей статье (https://www.1spla.ru/blog/pervye-shagi-pri-nastroyke-routera-mikrotik) я рассказал как обновить прошивку в только что купленном роутере Mikrotik.

В этой же статье, я расскажу, как настроить на роутере базовый функционал для выхода в интернет.

Как и ранее, я рекомендую для работы с оборудованием mikrotik штатную утилиту winbox, которую вы всегда можете скачать с официального сайта производителя (https://download2.mikrotik.com/routeros/winbox/3.11/winbox.exe).

Итак, подключаем роутер первым портом к кабелю провайдера, кабель локальной сети подключаем в любой из оставшихся портов, по умолчанию на всех портах, кроме 1-го выдаются DHCP адреса из подсети 192.168.88.0/24, а сам роутер имеет адрес 192.168.88.1 на локальном интерфейсе.

Теперь подключаемся к роутеру по MAC-адресу (можно и по ip, но я взял себе за правило подключаться именно так, т.к. порой приходится иметь дело с роутерами без ip на интерфейсе) с любого компьютера в локальной сети (стандартный логин admin, пароль пустой):

Перед нами открывается окно:

Для работы интернета нам необходимо всего 4 вещи:

• IP-адрес на интерфейсе провайдера.
• Маршрут в интернет (в роутерах домашнего класса обычно это делается автоматически при добавлении шлюза провайдера).
• Настроить NAT для локальных адресов (по умолчанию NAT настроен на «маскарадинг» всего трафика, выходящего через первый интерфейс, в данном случае, нас это полностью устраивает).
• Указать DNS-серверы.

Итак, приступим.

Если ваш провайдер назначает адреса автоматически, этот пункт выполнять не нужно (По умолчанию на 1-м интерфейсе включен DHCP-клиент).

1. IP-адрес на интерфейсе провайдера

Заходим в меню IP, подменю Addresses:

Там нажимаем на синий «плюс» и вводим ip-адрес, выданный провайдером в формате xxx.xxx.xxx.xxx/yy.

Где /yy – маска подсети, таблицу перевода маски из формата zzz.zzz.zzz.zzz в формат /yy можно взять на Википедии (https://ru.wikipedia.org/wiki/Маска_подсети).

Поле Network оставляем пустым (оно заполнится автоматически).

Далее выбираем интерфейс, которому мы назначаем адрес, в нашем случае – это интерфейс ether1 и нажимаем «OK».

Если ваш провайдер назначает адреса автоматически, этот пункт выполнять не нужно (По умолчанию маршрут добавляется автоматически).

2. Маршрут в интернет

Заходим в меню IP, подменю routes:

Нажимаем синий «плюс»

В появившемся окне в поле Dst. Address вводим 0.0.0.0/0, в поле Gateway вводим адрес шлюза нашего провайдера, в нашем случае это 150.150.150.1, затем, нажимаем «ОК».

3. Указать DNS-серверы

Эта задача делится на 2 этапа – настройка DNS-серверов для самого микротика (при автоматическом назначении адреса провайдером, DNS-сервера назначаются автоматически и эту часть можно опустить) и настройка DNS-серверов, которые будут назначаться нашим компьютерам в локальной сети.

Итак, приступим, заходим в меню IP, подменю DNS и указываем в поле Servers наш первый адрес DNS-сервера, затем, при необходимости добавить адрес 2-го DNS-сервера, нажимаем на стрелочку вниз правее от этого поля и вписываем адрес 2-го DNS-сервера, затем нажимаем «ОК».

После этого, микротик сможет сам разрешать имена сайтов, но компьютеры нашей локальной сети – ещё нет, давайте это исправим.

Заходим в меню IP, подменю DHCP Server и на вкладке Networks 2 раза кликаем на единственную строку, находящуюся там.

Откроется окно редактирования параметров, которые передаются нашим компьютерам в локальной сети по DHCP, там, в поле DNS Servers вписываем адрес DNS-сервера, в нашем случае укажем там адрес микротика 192.168.88.1 и нажимаем «ОК».

На этом этапе всё, наши любимые клиенты в сети получат все настройки от микротика и смогут выходить в интернет.

О дальнейших настройках читайте в следующих статьях.

Если вам нужна помощь в настройке оборудования или серверов, наши специалисты всегда готовы вам помочь.

Статью подготовил технический директор компании Первый Сервисный Провайдер Гавриш Артём.

Настройка роутера MikroTik hAP Lite TC

Честно признаюсь, что до недавней поры я вообще не был знаком с маршрутизаторами от MikroTik. Что-то слышал, читал, и все время думал, что это какие-то сетевые устройства для профессионалов. Сложная настройка, много функций и все такое. Но увидел в продаже недавно несколько моделей MikroTik. Решил купить MikroTik hAP Lite TC, чтобы самому посмотреть, настроить его, и рассказать об этом вам.

В этой инструкции я покажу как настроить MikroTik hAP Lite TC. Используя это руководство, вы сможете настроить практически любой маршрутизатор MikroTik RouterBOARD. Сама RouterOS, на которой работают устройства этого производителя на первый взгляд очень сложная. На самом деле, она сложная не только на первый взгляд 🙂 Там реального много разных разделов, настроек и т. д. На моем роутере сама система RouterOS на английском языке. Как я понимаю, там нет возможности сменить язык настроек на русский. Но, если разобраться, то понимаешь, что для обычной настройки MikroTik вообще не нужно лазить по каким-то там разделам, что-то искать и т. д. Там все самые необходимые и важные настройки находятся на одной странице. Которая открывается сразу после входа в панель управления. Сейчас мы все это рассмотрим подробнее.

Хочу еще сказать несколько слов о самом роутере MikroTik hAP Lite TC. Устройство мне понравилось. Корпус из качественного пластика, хоть и немного воняет. Недорогой, прикольный, судя по всему мощный и очень функциональный. Но весь этот функционал не нужен большинству пользователей. Прикольно, что питание от microUSB. Можно записать даже от USB-порта компьютера, или повербанка. Или без проблем найти другой адаптер питания, если родной сломается. Не понравилась очень скучная упаковка, совсем непонятная инструкция по настройке (на английском языке), и что самое главное – отсутствие сетевого кабеля в комплекте. Такие они, маршрутизаторы MikroTik RouterBOARD. По крайней мере модель hAP Lite TC.

Судя по той инструкции, которая идет в комплекте, данное руководство должно пригодится многим. Что касается MikroTik, то здесь я полный чайник. Так что инструкция, как вы понимаете, для таких же чайников как я 🙂

Подключение роутера MikroTik и подготовка к настройке

Чтобы задать все необходимые параметры, нам сначала нужно подключится к маршрутизатору и подключить к нему интернет. Так как сетевого кабеля в комплекте нет, то вы скорее всего будете подключатся к нему по Wi-Fi сети. Настроить можно не только с ноутбука, или ПК. Можно использовать планшет, телефон, или другое устройство.

Сначала подключите адаптер питания и включите его в розетку. Так же сразу можете подключить к MikroTik интернет (сетевой кабель от провайдера, или модема). В порт Internet.

Если у вас есть сетевой кабель, и нет возможности подключится по Wi-Fi, то просто подключите один конец кабеля в LAN порт роутера, а второй в порт сетевой карты вашего компьютера.

Дальше просто подключаемся к открытой Wi-Fi сети, в названии которой есть «MikroTik».

Выглядит это вот так:

Доступа к интернету сразу может не быть. Мы еще не настроили подключение маршрутизатора к провайдеру. Это нормально. Переходим к настройке.

Настройка MikroTik на примере модели hAP Lite TC

Чтобы зайти в настройки роутера, нужно в любом браузере перейти по адресу 192.168.88.1. Подробнее об этом я писал в статье: 192.168.88.1 – вход на роутер MikroTik (RouterOS). Сразу должна открыться панель управления RouterOS (в моем случае версии v6.34.2). Проверьте, чтобы роутер работал в режиме «Home AP».

Как я уже писал выше, все базовые настройки можно задать прямо на главной странице «Quick Set». Она разделена на блоки. Настроить нам нужно следующее:

1. Подключение к интернету (Internet).
2. Wi-Fi сеть (Wireless).
3. Установить пароль на защиту панели управления (System).

Этих настроек вполне достаточно в большинстве случаев.

Настройка интернета на MikroTik (Динамический IP, PPPoE)

Важный момент! Если интернет у вас уже работает через маршрутизатор, то скорее всего ваш провайдер использует тип подключения Динамический IP, и дополнительная настройка не нужна. Так как тип подключения «Automatic» стоит по умолчанию. Можете сразу настраивать Wi-Fi сеть.

У вас должна быть информация о типе подключения, которое использует ваш интернет-провайдер. А так же все необходимые данные для подключения к интернету (если у вас НЕ динамический IP). Так же желательно сразу выяснить, делает ли провайдер привязку по MAC-адресу.

Значит так, если у вас тип подключения «Динамический IP», без привязки по MAC-адресу, то все сразу должно работать. Если есть привязка по MAC-адресу, то вам нужно либо прописать у провайдера MAC-адрес роутера (он указан в поле MAC Address), или же посмотреть MAC-адрес компьютера к которому привязан интернет и прописать его в поле «MAC-адрес» в настройках роутера.

Не забудьте сохранить настройки, нажав на кнопку «Apply Configuration» (в правом нижнем углу).

Настройка PPPoE

Выделяем тип подключения PPPoE, задаем имя пользователя и пароль (их выдает провайдер) и нажимаем на кнопку «Reconnect». Роутер должен подключится к интернету. Если все хорошо, то переходите к настройке Wi-Fi сети. Об этом ниже в статье.

А вот подключения по PPTP почему-то не добавили в этот список. Наверное потому, что он не очень популярный. Но тем не менее, некоторые провайдеры его используют.

Настройка L2TP/PPTP

Сначала в разделе «PPP» нужно добавить «PPTP Client».

Дальше задаем адрес сервера (Connect To), имя пользователя (User) и пароль (Password). Эти данные выдает провайдер. Ставим галочку возле «Add Default Route». Затем сохраняем профиль нажав на кнопку «Apply» и «Ok».

Друзья, я не уверен, что инструкция по настройке PPTP правильная. К сожалению, нет возможности это проверить. Если я что-то написал не так, пожалуйста, поправьте меня в комментариях.

Настройка Wi-Fi сети и пароля на MikroTik hAP Lite TC

На этой же странице нас интересует раздел «Wireless». Он слева.

В поле «Network Name» меняем имя Wi-Fi сети. В выпадающем меню «Country» желательно указать свой регион, и в поле «WiFi Password» задаем пароль (минимум 8 символов), который будет использоваться при подключении к Wi-Fi сети.

Ниже можно настроить гостевую Wi-Fi сеть, и посмотреть список подключенных по Wi-Fi клиентов.

Запомните, или запишите пароль от Wi-Fi. Можете сохранить настройки кнопкой «Apply Configuration», или установите сразу пароль на защиту настроек.

Пароль на web-интерфейс RouterOS

Мы когда переходили по адресу 192.168.88.1, то панель управления открылась сразу. В нее сможет зайти каждый, кто подключен к роутеру по Wi-Fi сети, или по кабелю. Чтобы ее защитить, нужно установить пароль.

На главной странице, в правом нижнем углу, в разделе «System», в поле «Password» и «Confirm Password» придумайте и укажите пароль. Сохраните настройки нажав на «Apply Configuration» .

Вас «выкинет» из системы. И чтобы снова зайти в настройки, нужно указать пароль, который вы установили. Имя пользователя – admin. Теперь авторизоваться нужно будет при каждом входе в RouterOS.

Постарайтесь не забыть пароль, а то придется сбрасывать настройки своего роутера MikroTik и настраивать все заново.

Послесловие

Заранее извиняюсь, если где-то ошибся в инструкции. Нет возможности все проверить на себе. Например, подключение по PPPoE, или PPTP. Нужен провайдер, который использует определенный протокол.Сама настройка мне показалась даже проще, чем у популярных производителей с более дружелюбным интерфейсом. Соглашусь, что настроить например фильтрацию по MAC-адресам, блокировку сайтов, ограничение скорости и другие функции там будет сложновато. Нужно разбираться.

Долго не мог понять, как работает сама система RouterOS. И я понял. Она работает «четко». Да, настроек там много. Но все быстро открывается, сохраняется, удаляется и т. д. Ничего не висит, и не перезагружается по несколько раз.

Оставляйте комментарии, делитесь полезными советами и задавайте вопросы!

Первая конфигурация — RouterOS

Есть два типа маршрутизаторов:

• С конфигурацией по умолчанию
• Без конфигурации по умолчанию. Если конкретная конфигурация не найдена, IP-адрес 192.168.88.1/24 устанавливается на ether1, combo1 или sfp1.

Дополнительную информацию о текущей конфигурации по умолчанию можно найти в документе «Краткое руководство», прилагаемом к вашему устройству. В краткое руководство будет включена информация о том, какие порты следует использовать для подключения в первый раз и как подключать устройства.

В этом документе описывается, как настроить устройство с нуля, поэтому мы попросим вас удалить все настройки по умолчанию.

При первом подключении к маршрутизатору с именем пользователя по умолчанию admin и без пароля вам будет предложено сбросить или сохранить конфигурацию по умолчанию (даже если конфигурация по умолчанию имеет только IP-адрес). Поскольку в этой статье предполагается, что на маршрутизаторе нет конфигурации, вы должны удалить ее, нажав «r» на клавиатуре при появлении соответствующего запроса или нажав кнопку «Удалить конфигурацию» в WinBox.

Если на маршрутизаторе нет конфигурации по умолчанию, у вас есть несколько вариантов, но здесь мы будем использовать один метод, который соответствует нашим потребностям.

Подключите порт ether1 маршрутизатора к кабелю WAN и подключите компьютер к ether2. Теперь откройте WinBox и найдите свой маршрутизатор в обнаружении соседей. См. Подробный пример в статье Winbox.

Если вы видите маршрутизатор в списке, щелкните MAC-адрес и щелкните Connect .

Самый простой способ убедиться, что у вас абсолютно чистый маршрутизатор, — запустить

.

 / конфигурация сброса системы no-defaults = да skip-backup = да 

Или из WinBox (рис.1-1):

Поскольку MAC-соединение не очень стабильно, первое, что нам нужно сделать, это настроить маршрутизатор так, чтобы IP-соединение было доступно:

• добавить интерфейс моста и порты моста;
• добавить IP-адрес к интерфейсу LAN;
• настроить DHCP-сервер.

Установить мост и IP-адрес довольно просто:

 / интерфейсный мост добавить имя = локальный
/ interface bridge port add interface = ether2 bridge = local
/ IP-адрес добавить адрес = 192.168.88.1 / 24 интерфейс = локальный 

Если вы предпочитаете WinBox / WeBfig в качестве инструментов настройки:

• Откройте окно Bridge , должна быть выбрана вкладка Bridge ;
• Нажмите кнопку + , откроется новое диалоговое окно, введите имя моста local и нажмите OK ;
• Выберите вкладку «Порты» и нажмите кнопку + , откроется новое диалоговое окно;
• выберите интерфейс ether2 и мост local из выпадающих списков и нажмите кнопку OK , чтобы применить настройки;
• Вы можете закрыть диалоговое окно моста.

• Открыть IP -> Адреса диалоговое окно;
• Нажмите кнопку + , откроется новый диалог;
• Введите IP-адрес 192.168.88.1/24 выберите интерфейс local из выпадающего списка и нажмите кнопку OK ;

Следующим шагом является настройка DHCP-сервера. Мы запустим команду setup для простой и быстрой настройки:

 [admin @ MikroTik] / настройка ip dhcp-сервера [ввод]
      Выберите интерфейс для запуска DHCP-сервера

      Интерфейс сервера DHCP: локальный [ввод]
      Выберите сеть для DHCP-адресов

      Адресное пространство dhcp: 192.168.88.0 / 24 [ввод]
      Выберите шлюз для данной сети

      шлюз для сети DHCP: 192.168.88.1 [введите]
      Выберите пул IP-адресов, выданных DHCP-сервером

      адреса для выдачи: 192.168.88.2-192.168.88.254 [введите]
      Выберите DNS-серверы

      DNS-серверы: 192.168.88.1 [ввод]
      Выберите срок аренды

      срок аренды: 10m [ввод] 

Обратите внимание, что большинство параметров конфигурации определяются автоматически, и вам просто нужно нажать клавишу ввода.

Тот же инструмент настройки также доступен в WinBox / WeBfig:

• Откройте окно Ip -> DHCP Server , должна быть выбрана вкладка DHCP ;
• Нажмите кнопку DHCP Setup , откроется новое диалоговое окно, введите интерфейс DHCP-сервера local и нажмите кнопку Next ;
• Следуйте указаниям мастера, чтобы завершить настройку.

Теперь подключенный компьютер должен иметь возможность получать динамический IP-адрес. Закройте Winbox и повторно подключитесь к маршрутизатору, используя IP-адрес (192.168.88.1)

. Следующим шагом будет получение доступа к маршрутизатору через Интернет. Существует несколько типов подключения к Интернету, но наиболее распространенными из них являются:

• динамический общедоступный IP-адрес;
• статический публичный IP-адрес;
• Соединение PPPoE.

Динамический общедоступный IP-адрес

Конфигурация динамического адреса является самой простой.Вам просто нужно настроить DHCP-клиент на общедоступном интерфейсе. DHCP-клиент получит информацию от интернет-провайдера (ISP) и настроит для вас IP-адрес, DNS, NTP-серверы и маршрут по умолчанию.

 / ip dhcp-client add disabled = no interface = ether1 

После добавления клиента вы должны увидеть назначенный адрес и статус должен быть привязан

 [admin @ MikroTik] / ip dhcp-client> печать
Флаги: X - отключено, I - недопустимо.
 # ИНТЕРФЕЙС ИСПОЛЬЗОВАТЬ АДРЕС СОСТОЯНИЯ ДОБАВЛЕНИЯ МАРШРУТА ПО УМОЛЧАНИЮ
 0 ether1 да да привязано 1.2.3.100 / 24 

Статический общедоступный IP-адрес

В случае конфигурации статического адреса ваш провайдер предоставляет вам параметры, например:

• IP: 1.2.3.100/24 ​​
• Шлюз: 1.2.3.1
• DNS: 8.8.8.8

Это три основных параметра, которые необходимы для работы интернет-соединения.

Чтобы установить это в RouterOS, мы вручную добавим IP-адрес, добавим маршрут по умолчанию с предоставленным шлюзом и настроим DNS-сервер

.

 / IP-адрес добавить адрес = 1.2.3.100 / 24 интерфейс = ether1
/ ip route добавить шлюз = 1.2.3.1
/ ip dns установить серверы = 8.8.8.8 

Соединение PPPoE

Соединение

PPPoE также дает вам динамический IP-адрес и может динамически настраивать DNS и шлюз по умолчанию. Обычно поставщик услуг (ISP) предоставляет вам имя пользователя и пароль для подключения

 / интерфейс pppoe-client
  добавить disabled = no interface = ether1 user = me password = 123 \
    добавить-default-route = да использовать-peer-dns = да 

Действия Winbox / Webfig:

• Открыть окно PPP , должна быть выбрана вкладка Интерфейсы ;
• Нажмите кнопку + и выберите PPPoE Client из раскрывающегося списка, откроется новое диалоговое окно;
• Выберите интерфейс ether1 из раскрывающегося списка и нажмите кнопку OK , чтобы применить настройки.

Далее в конфигурации WAN интерфейс теперь является интерфейсом pppoe-out , а не ether1 .

Проверьте подключение

После успешной настройки вы сможете получить доступ к Интернету с маршрутизатора.

Подтвердите IP-соединение, выполнив эхо-запрос известного IP-адреса (например, DNS-сервер Google)

 [админ @ MikroTik]> / пинг 8.8.8.8
РАЗМЕР ХОСТА TTL ВРЕМЯ СОСТОЯНИЕ
8.8.8.8 56 47 21 мс
8.8.8.8 56 47 21 мс 

Проверить DNS-запрос

 [admin @ MikroTik]> / ping www.google.com
РАЗМЕР ХОСТА TTL ВРЕМЯ СОСТОЯНИЕ
173.194.32.49 56 55 13 мс
173.194.32.49 56 55 12 мс 

Если все настроено правильно, пинг в обоих случаях не должен завершаться.

В случае сбоя обратитесь к разделу поиска и устранения неисправностей.

Теперь любой человек в мире может получить доступ к нашему маршрутизатору, поэтому сейчас самое время защитить его от злоумышленников и основных атак.

Доступ с паролем пользователя

Маршрутизаторы MikroTik требуют настройки пароля, мы Предлагаем использовать инструмент генератора паролей для создания безопасных и неповторяющихся паролей.Под безопасным паролем мы подразумеваем:

• Минимум 12 символов;
• Включите цифры, символы, прописные и строчные буквы;
• не является словарным словом или сочетанием словарных слов;

 / пользовательский набор 0 пароль = "! = {Ba3N! 40TуX + GvKBzjTLIUcx /," 

Другой вариант установки пароля,

Мы настоятельно рекомендуем использовать второй метод или интерфейс Winbox для применения нового пароля для вашего маршрутизатора, чтобы защитить его от несанкционированного доступа.

 [admin @ MikroTik]> / пароль
Прежний пароль:
Новый пароль: ******
повторно введите новый пароль: ****** 

Убедитесь, что вы помните пароль! Если вы его забудете, выздоровления нет. Вам нужно будет переустановить роутер!

Вы также можете добавить больше пользователей с полным или ограниченным доступом к маршрутизатору в меню / пользователь

Лучше всего добавить нового пользователя с надежным паролем и отключить или удалить пользователя по умолчанию admin .

 / пользователь добавить имя = мое имя пароль = мой пароль группа = полный
/ пользователь удалить админ 

Примечание: войдите в маршрутизатор с новыми учетными данными, чтобы убедиться, что имя пользователя и пароль работают.

Доступ к подключению по MAC-адресу

По умолчанию сервер Mac работает на всех интерфейсах, поэтому мы отключим по умолчанию все записи и добавим локальный интерфейс, чтобы запретить подключение MAC через порт WAN.

 [admin @ MikroTik] / инструмент mac-server> печать
Флаги: X - отключено, * - по умолчанию
 # ИНТЕРФЕЙС
 0 * все 

 / инструмент Mac-сервер
  отключить 0;
  добавить interface = local; 

Сделайте то же самое для доступа Winbox MAC

 / инструмент mac-server mac-winbox
  отключить 0;
  добавить interface = local; 

Действия Winbox / Webfig:

• Откройте Инструменты -> окно Mac Server , должна быть выбрана вкладка Интерфейсы Telnet ;
• Нажмите кнопку + , откроется новый диалог;
• Выберите раскрывающийся список локальной формы интерфейса и нажмите кнопку OK , чтобы применить настройки;
• Из списка записей на вкладке Интерфейс Telnet выберите все и щелкните x , чтобы отключить выбранную запись.

Сделайте то же самое на вкладке Winbox Interface , чтобы заблокировать подключения Mac Winbox из Интернета

Обнаружение соседей

Протокол обнаружения соседей MikroTik используется для отображения и распознавания других маршрутизаторов MikroTik в сети, отключите обнаружение соседей на публичные интерфейсы:

 / ip Neighbor discovery-settings set discover-interface-list = local 

Доступ к IP-подключению

Помимо того факта, что межсетевой экран защищает ваш маршрутизатор от несанкционированного доступа из внешних сетей, можно ограничить доступ по имени пользователя для определенного IP-адреса

 / пользовательский набор 0 разрешенный адрес = x.x.x.x / yy 

x.x.x.x / yy — ваш IP-адрес или сетевая подсеть, которой разрешен доступ к вашему маршрутизатору.

IP-соединение на общедоступном интерфейсе должно быть ограничено в брандмауэре. Мы принимаем только доступ по протоколам ICMP (ping / traceroute), IP Winbox и ssh.

 / ip фильтр межсетевого экрана
  добавить цепочку = состояние входного соединения = установлено, связанное действие = принять комментарий = "принять установленное, связанное";
  добавить цепочку = состояние входного соединения = недопустимое действие = сбросить;
  добавить цепочку = входной интерфейс = протокол ether1 = действие icmp = принять комментарий = "разрешить ICMP";
  добавить цепочку = входной интерфейс = протокол ether1 = TCP-порт = 8291 действие = принять комментарий = "разрешить Winbox";
  добавить цепочку = входной интерфейс = протокол ether1 = TCP-порт = 22 действие = принять комментарий = "разрешить SSH";
  добавить цепочку = input in-interface = ether1 action = drop comment = "заблокировать все остальное"; 

В случае, если публичный интерфейс — это pppoe, тогда для in-интерфейса нужно установить значение «pppoe-out».

Первые два правила принимают пакеты от уже установленных соединений, поэтому мы предполагаем, что это нормально, чтобы не перегружать ЦП. Третье правило отбрасывает любой пакет, который отслеживание соединения считает недопустимым. После этого мы устанавливаем типовые правила приема для определенных протоколов.

Если вы используете Winbox / Webfig для настройки, вот пример того, как добавить установленное / связанное правило:

• Откройте окно Ip -> Брандмауэр , щелкните вкладку Правила фильтра ;
• Нажмите кнопку + , откроется новый диалог;
• Выберите вход цепочки, щелкните Состояние подключения, и установите флажки для установленных и связанных;
• Щелкните вкладку Action и убедитесь, что выбрано действие accept;
• Нажмите кнопку Ok , чтобы применить настройки.

Чтобы добавить другие правила, щелкните + для каждого нового правила и введите те же параметры, что и в примере консоли.

Административные службы

Хотя брандмауэр защищает маршрутизатор от общедоступного интерфейса, вы все равно можете отключить службы RouterOS.

Большинство инструментов администрирования RouterOS настраиваются в сервисном меню / ip

Сохранять только безопасные,

 / ip сервис отключить telnet, ftp, www, api 

Измените порты служб по умолчанию, это немедленно остановит большинство случайных попыток входа в систему методом грубой силы SSH:

 / ip сервисный набор ssh port = 2200 

Кроме того, каждая служба может быть защищена разрешенным IP-адресом или диапазоном адресов (адресная служба ответит), хотя более предпочтительным методом является блокировка нежелательного доступа в брандмауэре, поскольку брандмауэр даже не позволяет открыть сокет

Сервис

 / ip установил адрес winbox = 192.168.88.0 / 24 

Другие службы

Сервер полосы пропускания используется для проверки пропускной способности между двумя маршрутизаторами MikroTik. Отключите его в производственной среде.

 / tool bandwidth-server set enabled = no 

На маршрутизаторе может быть включен кэш DNS, что сокращает время разрешения DNS-запросов от клиентов к удаленным серверам. Если на вашем маршрутизаторе не требуется кеш DNS или для этих целей используется другой маршрутизатор, отключите его.

 / ip dns set allow-remote-requests = no 

 
 Некоторые RouterBOARD имеют ЖК-модуль для информационных целей, для установки контакта или отключения его.

Рекомендуется отключить все неиспользуемые интерфейсы на вашем маршрутизаторе, чтобы уменьшить несанкционированный доступ к вашему маршрутизатору.

 / интерфейс печати
/ набор интерфейсов x отключен = да 

Где «X» — это номер неиспользуемых интерфейсов .

RouterOS использует более надежное шифрование для SSH, большинство новых программ используют его, чтобы включить сильное шифрование SSH:

 / ip ssh установить strong-crypto = да 

Следующие службы по умолчанию отключены, тем не менее, лучше убедиться, что ни одна из них не была включена случайно:

• MikroTik динамическая служба имен или IP-облако,

 / ip cloud set ddns-enabled = no update-time = no 

На этом этапе ПК еще не может получить доступ к Интернету, потому что локально используемые адреса не маршрутизируются через Интернет.Удаленные хосты просто не знают, как правильно ответить на ваш локальный адрес.

Решением этой проблемы является изменение адреса источника для исходящих пакетов на общедоступный IP-адрес маршрутизатора. Это можно сделать с помощью правила NAT:

 / IP брандмауэр нат
  добавить цепочку = srcnat out-interface = ether1 action = masquerade 

В случае, если публичный интерфейс — это pppoe, тогда для in-интерфейса нужно установить значение «pppoe-out».

Еще одним преимуществом такой настройки является то, что клиенты с NAT за маршрутизатором не подключены напрямую к Интернету, поэтому дополнительная защита от атак извне в большинстве случаев не требуется.

Перенаправление портов

Некоторым клиентским устройствам может потребоваться прямой доступ к Интернету через определенные порты. Например, клиент с IP-адресом 192.168.88.254 должен быть доступен по протоколу удаленного рабочего стола (RDP).

После быстрого поиска в Google мы обнаружили, что RDP работает на TCP-порту 3389. Теперь мы можем добавить правило NAT назначения для перенаправления RDP на клиентский ПК.

 / IP брандмауэр нат
  добавить цепочку = dstnat protocol = tcp port = 3389 in-interface = ether1 \
    действие = dst-nat to-address = 192.168.88.254 

Если вы установили строгие правила брандмауэра, тогда протокол RDP должен быть разрешен в прямой цепочке фильтров брандмауэра.

Для простоты использования мостовая беспроводная настройка будет сделана так, чтобы ваши проводные хосты находились в том же широковещательном домене Ethernet, что и беспроводные клиенты.

Важно убедиться, что наша беспроводная сеть защищена, поэтому первым шагом является профиль безопасности.

Профили безопасности настраиваются из меню / interface wireless security-profiles в терминале.

 / интерфейс беспроводных профилей безопасности
  добавить name = myProfile authentication-types = wpa2-psk mode = dynamic-keys \
    wpa2-pre-shared-key = 1234567890 

в Winbox / Webfig щелкните Wireless , чтобы открыть окна беспроводной связи и выберите вкладку Security Profile .

Если есть устаревшие устройства, которые не поддерживают WPA2 (например, Windows XP), вы также можете разрешить протокол WPA.

Общие ключи WPA и WPA2 не должны совпадать.

Теперь, когда профиль безопасности готов, мы можем включить беспроводной интерфейс и установить желаемые параметры

 / беспроводной интерфейс
  включить wlan1;
  установить диапазон wlan1 = 2ghz-b / g / n channel-width = 20 / 40mhz-ce distance = в помещении \
    mode = ap-bridge ssid = MikroTik-006360 беспроводной протокол = 802.11 \
    профиль-безопасности = режим-частоты myProfile = нормативный-домен \
    установить страну = латвия усиление антенны = 3 

Чтобы сделать то же самое из Winbox / Webfig:

• Откройте окно Wireless, выберите интерфейс wlan1 и нажмите кнопку enable ;
• Дважды щелкните беспроводной интерфейс, чтобы открыть диалоговое окно конфигурации;
• В диалоговом окне конфигурации щелкните вкладку Wireless и нажмите кнопку Advanced mode справа.При нажатии на кнопку появятся дополнительные параметры конфигурации, а описание кнопки изменится на Простой режим ;
• Выберите параметры, как показано на скриншоте, за исключением настроек страны и SSID. Вы также можете выбрать другую частоту и усиление антенны;
• Затем щелкните вкладку HT и убедитесь, что выбраны обе цепи;
• Нажмите кнопку ОК , чтобы применить настройки.

Последний шаг — добавить беспроводной интерфейс к локальному мосту, иначе подключенные клиенты не получат IP-адрес:

 / порт интерфейсного моста
  добавить интерфейс = мост wlan1 = локальный 

Теперь беспроводная сеть должна иметь возможность подключаться к вашей точке доступа, получать IP-адрес и выходить в Интернет.

Пришло время добавить некоторую защиту для клиентов в нашей локальной сети. Мы начнем с базового набора правил.

 / ip фильтр межсетевого экрана
  добавить цепочку = прямое действие = быстрое отслеживание-соединение состояние-соединения = установлено, связанное \
    comment = "быстрый путь для установленных, связанных";
  добавить цепочку = прямое действие = принять состояние соединения = установлено, связанное \
    comment = "принять установленный, связанный";
  добавить цепочку = прямое действие = сбросить состояние соединения = недействительно
  добавить цепочку = прямое действие = сбросить состояние соединения = новое состояние соединения =! dstnat \
    in-interface = ether1 comment = "отключение доступа к клиентам за NAT из WAN" 

Набор правил аналогичен правилам входной цепочки (принять установленное / связанное и удалить недопустимое), за исключением первого правила с action = fasttrack-connection .Это правило позволяет установленным и связанным соединениям обходить брандмауэр и значительно сокращать загрузку ЦП.

Еще одно отличие — последнее правило, которое отбрасывает все новые попытки подключения с порта WAN к нашей сети LAN (если не используется DstNat). Без этого правила, если злоумышленник знает или угадывает вашу локальную подсеть, он / она может установить соединения напрямую с локальными хостами и вызвать угрозу безопасности.

Более подробные примеры создания брандмауэра будут обсуждаться в разделе брандмауэра или непосредственно в статье Создание своего первого брандмауэра.

Иногда вы можете захотеть заблокировать определенные веб-сайты, например, запретить доступ к развлекательным сайтам для сотрудников, запретить доступ к порнографии и т. Д. Это может быть достигнуто путем перенаправления HTTP-трафика на прокси-сервер и использования списка доступа для разрешения или запрета определенных веб-сайтов.

Во-первых, нам нужно добавить правило NAT для перенаправления HTTP на наш прокси. Мы будем использовать встроенный прокси-сервер RouterOS, работающий на порту 8080.

 / IP брандмауэр нат
  добавить цепочку = dst-nat protocol = tcp dst-port = 80 src-address = 192.168,88,0 / 24 \
    действие = перенаправление на порты = 8080 

Включить веб-прокси и удалить некоторые веб-сайты:

Прокси-сервер

 / ip включен = да
/ IP прокси-доступ добавить dst-host = www.facebook.com действие = запретить
/ ip прокси-доступ добавить dst-host = *. youtube. * action = deny
/ IP прокси-доступ добавить dst-host =: vimeo action = deny 

Использование Winbox:

• В левом меню перейдите к IP -> Веб-прокси.
• Появится диалоговое окно настроек веб-прокси.
• Установите флажок «Включить» и нажмите кнопку «Применить».
• Затем нажмите кнопку «Доступ», чтобы открыть диалоговое окно «Доступ к веб-прокси».

• В диалоговом окне «Доступ к веб-прокси» нажмите на «+», чтобы добавить новое правило веб-прокси.
• Введите имя хоста Dst, которое вы хотите заблокировать, в данном случае «www.facebook.com «, выберите действие» запретить «
• Затем нажмите кнопку» ОК «, чтобы применить изменения.
• Повторите то же самое, чтобы добавить другие правила.

RouterOS имеет встроенные различные инструменты для устранения неполадок, например ping, traceroute, torch, анализатор пакетов, тест полосы пропускания и т. д.

В этой статье мы уже использовали инструмент ping для проверки подключения к Интернету.

Устранение неполадок при сбое ping

Проблема с инструментом ping заключается в том, что он говорит только что пункт назначения недоступен , но более подробная информация недоступна.Рассмотрим основные ошибки.

Вы не можете получить доступ к www.google.com со своего компьютера, который подключен к устройству MikroTik:

Если вы не уверены, как именно настроить ваше шлюзовое устройство, обратитесь к официальным консультантам MikroTik за поддержкой по настройке.

Как настроить маршрутизатор MikroTik: начните здесь

Маршрутизаторы MikroTik являются популярным выбором для наших клиентов, провайдеров Интернет-услуг (ISP), поскольку они поддерживают домашние сети.

Если вы знакомы с этими маршрутизаторами, возможно, вы знаете, что они построены с использованием аппаратной платформы MikroTik RouterBOARD, работающей под управлением операционной системы MikroTik RouterOS — но как насчет того, как эти маршрутизаторы настроены? Вот обзор, который поможет вам начать работу!

Чтобы увидеть и внести изменения в конфигурацию вашего маршрутизатора MikroTik, вам понадобится способ подключения к нему. Как объясняется в MikroTik Wiki, вы можете сделать это несколькими способами:

• Подключение с использованием интерфейса командной строки (CLI) — CLI — это терминальный подход, который может выполняться через Telnet, SSH или последовательный кабель.
• Подключение с помощью WebFig — WebFig — это графический веб-интерфейс, который действует как средство настройки, мониторинга и устранения неполадок MikroTik RouterOS.
• Подключение с помощью WinBox — WinBox — это утилита настройки, разработанная для Windows, но ее также можно использовать на машинах под управлением Linux и MacOS.

Вы можете получить доступ к каждому из этих инструментов, введя IP-адрес вашего маршрутизатора MikroTik в веб-браузер.

Конфигурация маршрутизатора MikroTik по умолчанию

Состояние конфигурации по умолчанию вашего маршрутизатора MikroTik зависит от типа платформы RouterBOARD.Хотя следующий обзор относится к типу платформы CPE Router, вы можете запустить / system default-configuration print , чтобы увидеть, какие конфигурации по умолчанию применяются к вашему конкретному устройству MikroTik.

Настройки маршрутизатора

Все маршрутизаторы MikroTik предварительно сконфигурированы со следующим IP-адресом, а также с именем пользователя и паролем по умолчанию:

• IP-адрес: 192.168.88.1/24 (порт ether1)
• Имя пользователя: admin
• Пароль: (нет)

Как видите, первая конфигурация, которую вы захотите сделать при подключении, — это обновление учетных данных маршрутизатора по умолчанию.Напоминаем, что это следует делать для любого маршрутизатора, который вы подключаете у себя дома — независимо от того, установлен пароль или нет!

Пользовательские настройки

Параметр настройки пользователей позволяет вам настроить, кто в вашей сети имеет доступ к маршрутизатору MikroTik. По умолчанию вы увидите, что есть одна пользовательская настройка — «admin», которая имеет полный контроль доступа.

Рекомендуется отключить этого пользователя и создать собственных пользователей с назначениями в соответствующие группы, в зависимости от того, как настроена ваша сеть.

Настройки доступа в Интернет

Маршрутизаторы MikroTik предоставляют различные варианты конфигурации для подключения к Интернету:

• DHCP-клиент : Маршрутизатор MikroTik получает IP-адрес на стороне WAN от DHCP-сервера перед ним. Это конфигурация маршрутизатора MikroTik по умолчанию, и ее необходимо удалить, если она не поддерживается вашим интернет-провайдером. Вы можете сделать это, зайдя в настройки DHCP-клиента вашего маршрутизатора, находящиеся в разделе IP.
• Статический IP-адрес : Маршрутизатор MikroTik получает статический IP-адрес на стороне WAN.По умолчанию ваш маршрутизатор будет указывать только адрес вашей локальной сети (LAN), но вы можете добавить новый статический IP-адрес в настройках конфигурации адресов вашего маршрутизатора.

Другая конфигурация доступа в Интернет, которую вы хотите проверить и, при необходимости, внести изменения, — это настройки трансляции сетевых адресов (NAT) вашего маршрутизатора. Убедитесь, что у вас включен NAT, чтобы ваша локальная сеть была замаскирована вашим интернет-провайдером, о чем вы можете узнать больше в MikroTik Wiki.

Не пропустите следующую статью «Как настроить роутер MikroTik»! Подпишитесь на нашу рассылку новостей ниже.

Minim является партнером по программному обеспечению Made for MikroTik и предоставляет инструменты для простой настройки этих маршрутизаторов. Ознакомьтесь с конфигурациями по умолчанию, которые Minim обеспечивает безопасность маршрутизатора MikroTik.

Go Wireless NZ Справочный центр

MikroTik RouterOS очень мощный и гибкий и широко используется во всех типах сред, от простой домашней пользовательской сети до крупных корпоративных сетей. Это руководство предназначено, чтобы помочь вам понять MikroTik RouterOS и показать вам, как настроить маршрутизатор MikroTik от начала до конца с некоторыми из наиболее часто используемых настроек.Большая часть конфигурации и теории в этом руководстве взята из книги RouterOS на примере Стивена Р. В. Дисчера, которая является отличным инструментом обучения и помощником для любого, кто начинает баловаться миром MikroTik. Книгу можно приобрести здесь: https://www.gowifi.co.nz/trainingbooks/lmt-b2.html

Чтобы получить максимальную отдачу от учебника, необходимы базовые знания в области сетевых технологий.

Удалите всю конфигурацию:

Загрузите WinBox с https://mikrotik.com/download и сохраните его на рабочем столе.Откройте WinBox, дважды щелкнув его (установка не требуется), и подключитесь к маршрутизатору, щелкнув MAC-адрес на вкладке «Сосед». Просто убедитесь, что вы не подключены к порту 1 на маршрутизаторе, поскольку позже он станет интернет-портом.

Примечание: при нажатии на MAC-адрес устройства он автоматически появляется в поле «Подключиться к:». Это рекомендуемый способ подключения к устройству MikroTik для начальной настройки. Учетные данные для входа по умолчанию — admin (должны быть в нижнем регистре) и без пароля, поэтому оставьте поле пароля пустым и нажмите кнопку Connect.

Чтобы перезагрузить маршрутизатор и удалить все параметры конфигурации, перейдите в раздел «Система», «Сбросить конфигурацию», затем отметьте «Нет конфигурации по умолчанию»:

Маршрутизатор перезагрузится, и вы будете отключены. Когда маршрутизатор перезагрузится, откройте WinBox и повторно подключитесь к маршрутизатору, как указано выше.

Дайте маршрутизатору имя:

Перейдите в System, Identity и замените идентификатор по умолчанию выбранным вами именем и нажмите OK, я выбрал DemoTest.

Создание моста:
Перейдите к мосту и щелкните значок плюса, чтобы создать новый мост, затем щелкните OK.Это позволяет нам подключать порты Ethernet и интерфейс / ы Wi-Fi к нашей локальной сети или LAN. В этом примере мы не будем добавлять порт Ethernet 1, поскольку он станет портом Интернет позже. Иногда это называют глобальной сетью или глобальной сетью.

После создания моста нам нужно добавить к нему порты Ethernet и интерфейс (ы) Wi-Fi. Здесь следует отметить, что при добавлении интерфейса, через который вы подключены к маршрутизатору, вы будете отключены. Например, если ваш Ethernet-кабель подключен к порту номер 2 или ether2, как только вы добавите ether2 к мосту, вы потеряете соединение с маршрутизатором.Повторно подключитесь, щелкнув MAC-адрес и нажав кнопку «Подключить» в WinBox, как указано выше.

Пока окно моста все еще открыто, щелкните вкладку «Порты» и по очереди добавьте ether2, ether3, ether4, ether5 и любые имеющиеся у вас интерфейсы wlan. У моего маршрутизатора есть два интерфейса wlan или интерфейсы беспроводной локальной сети. Один для 2,4 ГГц и один для 5 ГГц, однако у вас может быть только один интерфейс wlan, поэтому просто добавьте его к мосту.

У вас должно получиться что-то вроде этого:

Создайте пароль для входа:

Создайте пароль для входа, перейдя в Система, Пароль.Оставьте поле «Старый пароль» пустым, так как в настоящее время у устройства нет пароля. Введите безопасный пароль в поле «Новый пароль», введите тот же пароль в поле «Подтверждение пароля» и нажмите «Изменить».

*** Обратите внимание, что каждый раз, когда вы входите в маршрутизатор, вам потребуется этот пароль ***

Следует отметить, что безопасный пароль должен состоять не менее чем из восьми символов, содержать прописные и строчные буквы и содержать хотя бы одно число и один символ.

IP-адрес и настройки DNS:

Дайте устройству IP-адрес, направьте его на общедоступный DNS-сервер и разрешите ему обслуживать DNS-запросы из локальной сети:

Затем мы дадим маршрутизатору IP-адрес адрес.Перейдите в IP, Адреса, щелкните значок плюса и введите новый IP-адрес и CIDR, представляющий маску подсети точно так же, как это 192.168.100.1/24.

Обязательно используйте косую черту, как показано, не нужно ничего вводить в поле «Сеть», просто нажмите «ОК».

Также используйте раскрывающийся список «Интерфейс» и выберите «мост1». Это гарантирует, что устройство будет доступно по его новому IP-адресу через все интерфейсы, перечисленные ранее созданным вами мостом1.

С этого момента каждый раз, когда вы подключаетесь к маршрутизатору с помощью WinBox, щелкните IP-адрес вместо MAC-адреса и используйте admin в качестве имени пользователя и пароля, который вы создали выше.И имя пользователя, и пароль чувствительны к регистру.

Чтобы указать маршрутизатору на общедоступный DNS-сервер, выберите IP, DNS, щелкните стрелку вниз справа от поля «Серверы» и введите 8.8.8.8 отметьте «Разрешить удаленные запросы», чтобы компьютеры в локальной сети могли отправлять DNS-запросы, и нажмите «ОК».

Добавьте DHCP-сервер:

Затем мы создадим DHCP-сервер, чтобы маршрутизатор раздавал и управлял IP-адресами для всех ваших сетевых устройств, таких как компьютеры, планшеты, смартфоны, точки доступа, IP камеры, телевизоры, принтеры и другие сетевые устройства..

Перейдите к IP, DHCP-серверу, нажмите кнопку DHCP Setup, выберите bridge1 из раскрывающегося списка и нажмите Next.

Оставьте значения по умолчанию для адресного пространства DHCP, шлюза для сети DHCP и адресов для выдачи и введите 192.168.100.1 в поле DNS-серверы, измените время аренды на 60 минут и нажмите Далее. Когда настройка нового DHCP-сервера будет завершена, вы увидите это сообщение. Нажмите OK, чтобы завершить настройку DHCP-сервера.

Проверьте Ethernet-соединение на вашем компьютере:

Затем убедитесь, что для Ethernet-соединения вашего компьютера установлено значение «Получать IP-адрес автоматически», а для него — «Получить DNS-сервер автоматически».

Настроить WiFi:

Перейдите в Wireless, выделите wlan1 и wlan2 (если они есть) и нажмите, чтобы включить интерфейс / ы, если они не включены.

Дважды щелкните wlan1, перейдите на вкладку беспроводной связи, измените режим на мост ap, измените диапазон на 2 ГГц-B / G / N, введите свой SSID (я использовал DemoTest) здесь, в разделе Frequency Mode выберите нормативный домен, измените страну на Новую Зеландию и нажмите ОК.

Если у вас есть wlan2, дважды щелкните его, перейдите на вкладку беспроводной связи и введите следующее: Mode ap bridge, Band 5 GHz-A / N / AC, SSID, что вам нравится (я снова использовал DemoTest, поэтому оба радио используют те же настройки Wi-Fi), Регуляторный домен частотного режима и Страна в Новую Зеландию, затем нажмите OK.

Затем мы создаем профиль безопасности беспроводной сети и применяем его к радиостанциям 2,4 и 5 ГГц.

Не закрывая окно Wireless Tables, перейдите в раздел «Профили безопасности» и щелкните значок «плюс», чтобы добавить профиль безопасности. В разделе Тип имени, независимо от вашего SSID, я снова использовал DemoTest, чтобы позже я мог четко идентифицировать новый профиль безопасности, чтобы я мог применить его к SSID, созданному ранее. Убедитесь, что WPA2-PSK отмечен галочкой в ​​поле Типы аутентификации. Затем введите свой пароль WiFi в разделе «Общий ключ WPA2» и нажмите «ОК».

Как указано выше, лучше всего использовать для паролей не менее восьми символов со смесью прописных и строчных букв, цифр и символов.

Примените новый профиль безопасности к обоим радиостанциям:

Перейдите в Интерфейсы, дважды щелкните wlan1, нажмите кнопку расширенного режима справа, затем измените профиль безопасности со значения по умолчанию на то, что вы назвали новым профилем безопасности, затем нажмите ОК. Опять же, для этого урока я использовал DemoTest.

Сделайте то же самое с wlan2, если он у вас есть, помните, что некоторые маршрутизаторы MikroTik имеют только один радиомодуль.

Теперь у вас должен быть доступен Wi-Fi, однако у нас есть еще несколько шагов, чтобы сделать его пригодным для использования.

Настройте глобальную сеть или интерфейс WAN:

Как упоминалось ранее, мы будем использовать порт Ethernet номер 1 или ether1 в качестве порта, который соединяет нас с Интернетом. В зависимости от договоренности с вашим интернет-провайдером или интернет-провайдером вам может потребоваться ввести статический IP-адрес, однако большинство домашних подключений являются динамическими. На этой основе мы создадим DHCP-клиента, чтобы глобальная сеть или интерфейс WAN могли автоматически получать IP-адрес от вашего интернет-провайдера, как в случае большинства подключений к Интернету.

Перейдите к IP, DHCP-клиент, щелкните значок плюса, чтобы добавить DHCP-клиента, измените интерфейс на ether1, убедитесь, что установлен флажок Use Peer DNS, и нажмите OK.

Настройка межсетевого экрана:

Межсетевые экраны могут быть очень сложными. В рамках этого руководства и в общих чертах необходимо учитывать несколько моментов, касающихся правил брандмауэра и того, как маршрутизатор смотрит на сетевой трафик. В частности, типы подключений, откуда они и куда направляются. Маршрутизатор просматривает пакеты источника или Src и пакеты назначения или пакеты Dst.

Существует четыре типа подключения, которые маршрутизатор рассматривает следующим образом:

Новое — новое подключение к маршрутизатору, которое соответствует критериям правил, как ожидаемый источник.

Установлено — соединение N ew модернизировано до E установлено после соответствия критериям правил.

Связанный — когда установленное соединение E имеет связанный поток, маршрутизатор будет следить за обоими типами.

Недействительный — пакеты повреждены или неверный источник и / или место назначения.

В этом руководстве мы будем использовать два типа цепочек: входную цепочку для защиты маршрутизатора и прямую цепочку для защиты устройств LAN. Другими словами, с какой стороны маршрутизатора идет трафик (LAN или WAN) и как пакеты отправляются на устройства в LAN и от них.

В качестве последней меры безопасности маршрутизатор решит, принимать (все в порядке) или отбрасывать (не обрабатывать) новые, установленные, связанные и недействительные соединения во входной и прямой цепях.

Чтобы убедиться, что мы можем видеть все детали каждого правила, перейдите к IP, Firewall и щелкните раскрывающееся меню справа от Packets, выделите Show Columns и убедитесь, что нажата кнопка Connection State. Это представление понадобится вам позже, чтобы проверить правила брандмауэра.

Сначала мы скажем маршрутизатору отбросить все недопустимые пакеты в цепочке пересылки.

В открытом окне брандмауэра перейдите на вкладку «Правила брандмауэра», затем нажмите на знак «плюс», чтобы добавить новое правило.

Правило 0 — На вкладке «Общие» убедитесь, что прямая цепочка присутствует в поле «Цепочка», затем щелкните стрелку «Состояние подключения» внизу, чтобы отменить скрытие состояний подключения.Отметьте Invalid и перейдите на вкладку Action. На вкладке «Действие» выберите раскрывающееся меню «Действие» и нажмите «ОК».

Правило 1 — Повторите описанный выше процесс, чтобы отбросить недопустимые пакеты во входной цепочке

Затем мы создадим список адресов для использования в правилах брандмауэра. Это упрощает создание некоторых правил брандмауэра.

Перейдите в IP, Брандмауэр, щелкните вкладку Списки адресов, щелкните значок плюса и введите LAN в качестве имени списка адресов и 192.168.1.100.0 / 24 в качестве адреса и нажмите OK.

Правило 2 — При открытом окне брандмауэра щелкните значок «плюс» на вкладке «Общие» и убедитесь, что входная цепочка находится в поле «Цепочка». Затем перейдите на вкладку Advanced и выберите список адресов, который вы создали выше, из списка адресов Src, я использовал LAN в качестве имени моего списка адресов. Затем перейдите на вкладку «Действие», выберите «Принять» в раскрывающемся меню и нажмите «ОК».

*** Это правило позволяет администрировать маршрутизатор из любой точки вашей локальной сети, однако это может быть дополнительно ограничено одним или несколькими устройствами.Эти дополнительные ограничения выходят за рамки данного руководства. ***

Для настройки правил с 3 по 8 действуйте, как указано выше

Правило 3 — Принять установленные соединения во входной цепочке

Правило 4 — Отключить соединения во входной цепочке

Правило 5 — Принятие новых подключений в прямой цепочке с использованием списка адресов LAN

Правило 6 — Принятие связанных подключений в прямой цепочке

Правило 7 — Принятие установленных подключений в прямой цепочке

Правило 8 — сбросить новые подключения в прямой цепочке от ether1

Внимательно изучите следующий снимок экрана, чтобы увидеть порядок, состояния подключения и место использования вашего списка адресов локальной сети.

Брандмауэр ищет правила сверху вниз, пока не найдет совпадение. Как только совпадение будет найдено, поиск не будет продолжен, поэтому размещение правил в списке очень важно. С RouterOS Mikrotik вы можете перетаскивать правила в правильном порядке, если они не соответствуют указанной выше последовательности.

Вышеупомянутые правила теперь будут обрабатываться в следующем порядке:

0 — Отбросить недопустимые соединения в прямой цепочке.

1 — Отбросить недопустимые соединения во входной цепочке.

2 — Принимать соединения от LAN во входной цепочке.

3 — Принять установленные соединения во входной цепочке.

4 — Отбросьте все остальное во входной цепочке, поскольку мы разрешили все, что хотим разрешить.

5 — Принимать соединения из LAN в прямой цепочке.

6 — Принять связанные соединения в прямой цепочке.

7 — Принять установленные соединения в прямой цепочке.

8 — Отбросьте новые соединения в прямой цепочке от ether1, поскольку мы разрешили все, что хотим разрешить.

NAT или преобразование сетевых адресов:

В этом руководстве мы рассматриваем два типа IP-адресов. Первый тип — это частные IP-адреса, которые мы использовали для нашей частной локальной сети или LAN. Мы использовали адреса из этой подсети 192.168.100.0/24. Это сеть, которую мы защищаем от Интернета с помощью наших правил брандмауэра.

Второй тип IP-адресов, который нас интересует, — это общедоступные IP-адреса. Общедоступные IP-адреса используются на устройствах с выходом в Интернет, чтобы они могли подключаться к другим устройствам или службам с выходом в Интернет.По сути, мы все время используем две сети, нашу частную локальную сеть, которая отправляет трафик в общедоступный Интернет или глобальную сеть.

Частные IP-адреса не предназначены для использования в общедоступном Интернете. Следовательно, нам необходимо преобразовать наши частные IP-адреса в общедоступные IP-адреса, чтобы компьютеры в нашей локальной сети могли взаимодействовать с компьютерами в Интернете, который является нашей общедоступной сетью или глобальной сетью. Для этого нашему маршрутизатору необходимо удалить частные IP-адреса из пакетов, направляемых в Интернет из нашей локальной сети, и заменить их общедоступным IP-адресом, назначенным нашему порту WAN.Это называется NAT или преобразованием сетевых адресов.

Перейдите в IP, Брандмауэр, щелкните вкладку NAT и щелкните значок плюса (+). Убедитесь, что srcnat выбран в разделе Chain, а ether1 выбран в Out Interface. Теперь перейдите на вкладку «Действие», убедитесь, что выбран маскарад, и нажмите «ОК».

Это правило маскирует вашу исходную сеть или частную локальную сеть (с использованием вашего списка адресов локальной сети) за ether1, который будет подключен к общедоступному Интернету.

Теперь вы можете использовать свой маршрутизатор MikroTik, подключив ether1 к порту LAN на существующем широкополосном модеме.

В оставшейся части этого руководства рассматриваются два варианта замены широкополосного оптоволоконного маршрутизатора на маршрутизатор MikroTik. Возможно, вам потребуется связаться с вашим поставщиком услуг для получения подробной информации о подключении. Следует отметить, что если у вас есть аналоговый телефон, подключенный к широкополосному модему для услуг VOIP через вашего интернет-провайдера, эти детали конфигурации выходят за рамки этого руководства и не включены. В качестве объяснения, некоторые широкополосные модемы преобразуют цифровые данные Voice Over IP или VOIP в аналоговые звуковые волны через встроенный ATA или аналоговый телефонный адаптер, чтобы можно было использовать старый аналоговый телефон, подключив его непосредственно к модему.Опять же, эти детали конфигурации выходят за рамки этого руководства и не включены.

Настройка маршрутизатора для широкополосной связи по оптоволокну в Новой Зеландии:

У новозеландских интернет-провайдеров разные требования к подключению маршрутизатора, предоставляемого заказчиком, к своей службе. Большинство требует добавления VLAN 10 к порту WAN, и оттуда их требования, похоже, различаются. Некоторым требуется только настроить порт WAN и / или VLAN 10 для автоматического получения IP-адреса через DHCP, а некоторым требуется дополнительная настройка клиента PPPoE для аутентификации.

Вариант 1 — только DHCP:

В этом примере мы будем использовать только вариант DHCP, однако, если вашему интернет-провайдеру также требуется клиент PPPoE, я предоставлю команду, которую вы можете скопировать и вставить в окно терминала внутри маршрутизатор в Варианте 2.

Сначала перейдите в Интерфейсы и щелкните значок плюса, чтобы добавить новый интерфейс. В поле Имя введите VLAN10 и введите 10 в поле VLAN ID. В разделе «Интерфейс» убедитесь, что выбран ether1, и нажмите «ОК».

Затем перейдите в IP, DHCP-клиент и щелкните значок плюса.Выберите VLAN10 из раскрывающегося списка «Интерфейс», установите флажок «Использовать одноранговый DNS» и нажмите «ОК».

Затем перейдите к IP, Firewall, щелкните вкладку NAT и щелкните значок плюса. Убедитесь, что srcnat выбран в поле Chain, а VLAN10 выбран в поле Out Interface, затем нажмите OK.

Если вашему провайдеру требуется только DHCP для интерфейса VLAN10, подключите кабель Ethernet WAN от оптоволоконного преобразователя к ether1, и теперь вы должны быть подключены к Интернету.Откройте веб-браузер и перейдите на www.gowifi.co.nz, и наша домашняя страница должна загрузиться.

*** Обратите внимание, что перед использованием Интернета необходимо обновить RouterOS и прошивку маршрутизатора. См. Ниже инструкции и варианты обновления ***

Вариант 2 — Клиент DHCP и PPPoE:

Если вашему интернет-провайдеру требуется VLAN10 и клиент PPPoE, вы можете скопировать и вставить следующие команды в окно терминала. Итак, « вместо » добавления VLAN10, настройки DHCP-клиента для VLAN10 и создания правила NAT, как показано в , вариант 1 , перейдите в «Новый терминал» и « вставьте обе команды вместе » в терминал окно и нажмите ввод.Прежде чем копировать обе команды в окно терминала, вам нужно будет изменить пароль и имя пользователя в команде на те, которые предоставлены вашим интернет-провайдером.

/ interface vlan
add interface = ether1 name = ether1.10 vlan-id = 10

/ interface pppoe-client
add add-default-route = yes disabled = no interface = ether1.10 name = pppoe-out1 password = Passw0rd [email protected]

После того, как вы отредактировали имя пользователя и пароль, необходимые для вашего интернет-провайдера, вставьте обе команды вместе в окно нового терминала.Здесь вы можете увидеть обе команды, вставленные в окно терминала, и интерфейс VLAN10 и клиент PPPoE создаются автоматически.

Поскольку используется клиент PPPoE, маршрутизатору необходимо настроить размер пакетов данных, проходящих через него. Чтобы выполнить эту настройку, мы запустим другую команду, и она сделает всю работу за нас. Закройте все окна, откройте новое окно терминала и вставьте в него следующую команду, затем нажмите ввод.

/ ip firewall mangle

add out-interface = pppoe-out protocol = tcp tcp-flags = syn action = change-mss new-mss = 1452 chain = forward tcp-mss = 1453-65535

Последней настройкой является создание правила srcnat NAT для вновь созданного клиента PPPoE с действием маскарада в списке адресов LAN Src.

Создайте новое правило NAT, перейдя в IP, Брандмауэр и щелкнув знак плюса (+), чтобы добавить новое правило.

Убедитесь, что srcnat находится в поле Chain, а pppoe-out1 выбран в раскрывающемся меню Out Interface.

Перейдите на вкладку Advanced и выберите список LAN, который вы создали ранее, в раскрывающемся меню Src Address List.

Наконец, перейдите на вкладку «Действие», выберите маскарад в раскрывающемся списке «Действие» и нажмите «ОК».

Если вашему провайдеру требуется интерфейс VLAN10 и клиент PPPoE, вы должны быть подключены к Интернету.Откройте веб-браузер и перейдите на www.gowifi.co.nz, и ваша страница должна загрузиться.

Обновление программного обеспечения и прошивки:

Теперь, когда вы подключены к Интернету, мы позаботимся о том, чтобы вы были защищены последней версией RouterOS MikroTik, а плата маршрутизатора была обновлена ​​до последней версии прошивки.

*** Вы действительно не должны использовать Интернет, пока не будут завершены следующие обновления ***

Теперь, когда вы подключены к Интернету, мы позаботимся о том, чтобы вы были защищены последней версией RouterOS и плата маршрутизатора MikroTik обновлены до последней прошивки.

Чтобы выполнить автоматическое обновление RouterOS, перейдите в раздел «Система», «Список пакетов» и нажмите «Проверить наличие обновлений». Если доступна новая версия, она будет указана в поле «Последняя версия» и в нижней части окна. В поле «Последняя версия» будет указан более высокий номер версии, чем для установленной версии.

Нажмите кнопку «Загрузить и установить», и вы увидите прогресс в нижней части окна.

Как только новая версия будет загружена, маршрутизатор перезагрузится для ее установки.

Снова подключитесь к маршрутизатору, перейдите в раздел «Система», «Маршрутизаторная плата» и нажмите кнопку «Обновить». Если доступна новая версия, она будет указана в поле «Обновить микропрограммное обеспечение» и будет иметь более высокий номер версии, чем текущий номер версии микропрограммы. Если доступна новая версия, нажмите Да, чтобы обновить прошивку.

Никакая новая прошивка не будет установлена, пока маршрутизатор не будет перезагружен, поэтому перейдите в раздел «Система», «Перезагрузить» и нажмите «Да», чтобы перезагрузить маршрутизатор.

Чтобы убедиться, что обновление RouterOS прошло успешно, перейдите в раздел «Система», «Список пакетов» и нажмите «Проверить наличие обновлений». Вы должны увидеть тот же номер версии в полях «Установленная версия» и «Последняя версия», а также в нижней части окна «Система уже обновлена. окно.

Чтобы убедиться, что обновление прошивки прошло успешно, перейдите в раздел «Система», «Маршрутизатор», и вы должны увидеть тот же номер версии в полях «Текущая прошивка» и «Обновить прошивку».

Эти механизмы обновления следует использовать регулярно, чтобы гарантировать, что ваш маршрутизатор работает на оптимальном уровне.

Теперь вы настроили свой маршрутизатор MikroTik с некоторыми наиболее часто используемыми настройками, и вы обновили как RouterOS, так и прошивку маршрутизатора.

*** Следует отметить, что при автоматическом обновлении, как показано выше, будет выбрана последняя версия программного обеспечения без вмешательства пользователя.Некоторые люди предпочитают ручной процесс загрузки основного пакета, совместимого с платформой ЦП, прямо с https://mikrotik.com/download.

Это руководство основано на модели hAP AC lite, которая использует платформу mipsbe, как можно увидеть в верхней части окна WinBox.

*** Обратите внимание, что при выполнении обновления вручную рекомендуется выбрать долгосрочную версию, которая соответствует платформе вашего ЦП, поскольку она была опробована и протестирована ***

Если вы решили выполнить обновление вручную, загрузите обновление для своей платформы ЦП с https: // mikrotik.com / download и просто перетащите файл обновления в окно списка файлов, убедившись, что вы не вставляете файл в одну из папок.

Когда файл обновления завершит загрузку в систему маршрутизатора, перезагрузитесь, и маршрутизатор обновится во время перезапуска.

Молодцы и удачных вычислений!

Как настроить роутер Mikrotik

Цель этого руководства — просто предоставить вам базовые возможности подключения к вашей сети, чтобы ваши машины могли получать IP-адреса и выходить в Интернет.

Я буду использовать Mikrotik RB RouterOS v. 6.46.1

Это настройки для моей ЛАБОРАТОРИИ:

Интернет (через фиксированный IP)

IP-адрес WAN: 172.16.57.131/30

Шлюз: 172.16.57.130/30

Интерфейс LAN: 10.50.50.0/24

Войдите в Winbox на маршрутизаторе, который вы планируете настроить. Если вы не знаете, как войти в свой маршрутизатор — https://www.informaticar.net/how-to-find-mikrotik-router-on-network/

Я делаю это в виртуальной лаборатории, но на физическом маршрутизаторе я использую порт Ethernet 1 для доступа в Интернет (WAN) и порт 2-4 / 5 (в зависимости от количества портов) для доступа к локальной сети.

После того, как вы войдете в Winbox, нажмите «Быстрая настройка» в верхней части левого меню.

Вот краткое изложение вариантов.

Configuration — вы выбираете между маршрутизатором и мостом. Я настраиваю свой как роутер.

Интернет — выберите тип подключения — у меня статический общедоступный IP-адрес, поэтому я выберу статический. Вы также можете выбрать «Автоматически» (тогда Mikrotik будет извлекать IP-адрес из источника, который предоставляет Интернет — другого маршрутизатора) и PPoE, для которых вам потребуются настройки, предоставленные вашим интернет-провайдером.

Вы можете увидеть мои настройки IP для Интернета, я также ввел DNS-серверы Google — 8.8.8.8 и 8.8.4.4

Локальная сеть

— для своей локальной сети я выбрал подсеть 10.50.50.0/24 и ввел IP-адрес 10.50.50.1, который будет адресом моего маршрутизатора, доступным из локальной сети. Я также выбрал DHCP-сервер для локальной сети, это означает, что каждый компьютер, подключенный к маршрутизатору Mikrotik (или коммутатору, если к нему подключен маршрутизатор Mikrotik), получит от него IP-адрес.

DHCP-сервер не является обязательным, вы можете пропустить его, если он вам не нужен.

Я также изменил идентификатор маршрутизатора в разделе «Система», а все остальное оставил как есть.

Когда вы закончите — Применить | ОК

Теперь нам нужно установить еще две вещи:

Сначала перейдите к IP | Маршруты

Вы должны увидеть маршрут с указанием Dst.Address 0.0.0.0/0 и Gateway 172.16.57.130 (достижимый эфир 1) — шлюз — это адрес шлюза, который мы ввели в Quick Set в разделе Internet Settings. Все ваши маршруты должны быть доступны. Если это не так, проверьте конфигурацию вашей физической сети и полученные IP-адреса.

Если у вас нет маршрута 0.0.0.0/0, нажмите на знак плюса (+)

/ Запчасть для тех, у кого нет статического маршрута , упомянутого выше.

Этот экран нужен только в том случае, если вам не нужен маршрут, указанный выше !! Мы введем указанный выше маршрут вручную. Введите Dst. Адрес 0.0.0.0/0 и введите шлюз 172.16.57.130 (конечно, вы измените его на свой адрес шлюза). Применить — ОК.

Теперь у вас должен быть этот маршрут.

/ Конец части для тех, у кого нет статического маршрута , упомянутого выше.

Второе, опять же, в меню IP, но на этот раз в брандмауэре.

Выберите вкладку NAT и знак плюса (+)

На экране «Новое правило NAT» на вкладке «Действие» выберите «Маскарад

».

Оставайтесь на экране «Новое правило NAT» и перейдите на вкладку «Общие». Под цепочкой выберите srcnat. Подтвердите, нажав Применить — ОК

Теперь, если вы все сделали правильно, вы сможете получить доступ в Интернет с ПК, который подключен к маршрутизатору Mikrotik и имеет IP-адрес из пула LAN маршрутизатора Mikrotik (в моем случае 10.50.50.0 / 24)

Заявление об ограничении ответственности

Настройка MikroTik по умолчанию — Tikdis

Базовая настройка MikroTik

1. Вставьте кабель к вашему провайдеру в ether1 и кабель к вашей собственной системе в ether2. Для упрощения настройки вы можете:
   1. Открыть Winbox ⇢ Быстрая настройка
   2. В виртуальной среде CHR или с помощью консольного кабеля: / setup
   3. Или воспользоваться руководством, приведенным ниже.
2. Заводские настройки конфигурации при необходимости: Winbox: Система ⇢ Сброс конфигурации (установите флажок Нет конфигурации по умолчанию, чтобы получить полностью чистое устройство, в противном случае оно будет использовать заводские настройки по умолчанию)
3. Отключить ненужные службы доступа: Winbox: IP ⇢ Службы (отключить все остальные, кроме Winbox)
4. Измените пароль администратора: Системный ⇢ Пароль
5. Если ваш провайдер обслуживает вас DHCP:
   1. Включите DHCP-клиент: IP Client DHCP-клиент: Добавить (+) ⇢ Интерфейс: ether1
6. Если вам нужно настроить общедоступный IP-адрес самостоятельно:
   1. Добавьте общедоступный IP-адрес: IP ⇢ Список адресов: Добавьте (+) (напр.7.9.13.1/24 — нет сети — выберите подключенный интерфейс)
   2. Добавить шлюз / маршрут по умолчанию: IP ⇢ Маршрут: Добавить (+) (Dst. Адрес: 0.0.0.0/0 — Шлюз: IP следующего маршрутизатора ) (или / ip route add gateway = 1.2.3.4 )
7. Если вам необходимо предоставить NAT для локальных IP-адресов:
   1. / ip firewall nat add chain = srcnat action = masquerade out-interface = ether1
8. Обновление программного обеспечения: Система ⇢ Пакеты: Проверить наличие обновлений
9. Вот и все — вы закончили с простой настройкой для получения доступа в Интернет.Вероятно, вы также захотите настроить / Firewall, / Wireless и / IP DHCP-сервер.

# Вот сценарий, который вы можете вставить в консоль, чтобы сделать что-то из вышеперечисленного:
/ конфигурация сброса системы
# / system reset-configuration no-defaults = да
/ пользователь устанавливает пароль администратора = Xxxveryxxxlong123xxxPASSWORDxxx
/ system package update install

Время и локальные сети

MikroTik не имеет батареи, поддерживающей время / дату, поэтому ему необходимо обновлять время и дату при каждой загрузке.MikroTik по умолчанию обновляется, пора использовать облако MikroTik, отметьте Winbox: IP ⇢ Облако: время обновления включено. Если вы хотите настроить клиент NTP / SNTP для обновления из вашей собственной сети, отключите время облака.

Если вам нужно, чтобы маршрутизатор мог маршрутизировать / подключаться к внутренним сетям, дайте маршрутизатору IP-адрес в каждой сети, и он создаст динамический маршрут в таблице маршрутизации и сможет подключаться. Добавить отл. адрес «10.0.1.1/24», без сети, и укажите IP-адрес интерфейса, подключенного к сети.Если у вас есть несколько портов, подключенных кабелем к сети, соедините порты мостом и добавьте адрес на мосту.

Уровень 2 или уровень 3?

Поскольку большинство устройств RouterOS могут работать как на уровне 2, так и на уровне 3, вам необходимо выбрать конфигурацию микросхемы коммутатора и процессора. Для устройств, включающих микросхему коммутатора, вы обычно подключаете все порты к одному главному порту, чтобы получить переключение на полной скорости провода. Проверьте настройку основных портов ваших устройств с помощью:

# Показать, какой мастер-порт использует каждый порт:
/ interface ethernet print

Если есть коммутатор, и вы хотите его использовать, установите все порты как имеющие основной порт в качестве главного порта, порты теперь называются подчиненными.

Если вы хотите использовать ЦП, соедините порты, к которым вы хотите иметь доступ уровня 2, вместе.

# Показать, к каким портам моста подключены:
/ interface bridge port print

Переименуйте интерфейсы, чтобы они отображали выбранную вами настройку и где они подключены. Пример: ether1-slave-crs-17 (ether1 является подчиненным портом и подключен к вашему коммутатору CRS через порт 17 коммутатора CRS).

Если вы не уверены, что входит в состав вашего устройства, вы можете проверить процессор с помощью / system resource print и проверить, присутствует ли чип коммутатора с помощью / interface ethernet switch print .

См. Мастер-порт RouterOS 6.41 для согласования изменений.

Выбрать сеть 192.168.x.x или 10.0.x.x?

Нет никакой технической разницы в том, какую частную сеть вы используете для внутренних целей, но если вам случится использовать ту же самую сеть / 24, что и ваши технические специалисты дома или в другом месте, это может стать помехой для VPN.Обычный способ:

10.0.xx: сети вашей компании
192.168.0.x-192.168.10.x: ваш собственный дом или частные домашние сети ваших пользователей
192.168.11-192.168.255.x: другие предприятия сети
172.16.0.0-172.31.255.255: VPN-подключения и сети SAN

Вышеупомянутое является обычным использованием, вы можете свободно выбирать из этих сетей, которые зарезервированы для частных сетей:
10.0.0.0-10.255.255.255 (10.0. 0,0 / 8)
192.168.0.0-192.168.255.255 (192.168.0.0/16)
172.16.0.0-172.31.255.255 (172.16.0.0/12)

FAQ — ошибки настройки по умолчанию?

У меня есть доступ к локальной сети из той же локальной подсети, но нет доступа в Интернет?

1. Вы добавили маршрут по умолчанию 0.0.0.0/0?
2. Установлен ли шлюз по умолчанию для маршрута 0.0.0.0/0 на IP-адрес маршрутизатора следующего перехода?
   Если вы установите шлюз маршрута по умолчанию на такой интерфейс, как ether1, маршрутизатор не будет использовать этот маршрут для поиска следующего перехода, и у вас не будет доступа через этот маршрут.Убедитесь, что у вас установлен следующий переход с / ip route nexthop print — или прочитайте больше о следующем переходе.
3. Как проверить доступ в Интернет с консоли / терминала?
   / ping 8.8.8.8
4. Как проверить доступ через определенный порт — напр. DNS порт 53?
   / system telnet 8.8.8.8 53

Защита маршрутизатора MikroTik RouterOS

1. Basic
   1. Не используйте администратора по умолчанию
   2. Установите надежный пароль для своего собственного пользователя
   3. Улучшите правила брандмауэра по умолчанию и никогда не отключайте их
   4. Отключите неиспользуемые службы (IP-службы и инструмент / сервер BTest)
   5. Регулярно обновляйте устройство
2. Advanced
   1. Установите сети для ВСЕХ служб, даже если они отключены.
   2. Установите сети для ВСЕХ пользователей с надежными паролями.
   3. Отключите серверы Mac для интерфейсов, которые в этом не нуждаются.
   4. Отключить IP Neighbor для интерфейсов, которым он не нужен.
   5. IF При развертывании Romon учитывайте использование ключа сегмента и используйте разные переходы для разных вещей в вашей сети.
   6. Отключите ненужные пакеты.

# Скрипт для защиты RouterOS
# удалите хэштеги под этой строкой после того, как вы установили свои значения

# установите свой часовой пояс ниже
# / системные часы
# set time-zone-autodetect = no time-zone-name = Country / City
/ ip фильтр межсетевого экрана
# убедитесь, что это вверху списка правил
add action = accept chain = input comment = «разрешить доступ администратора к маршрутизатору для авторизованных клиентов» dst-port = 22222,8888,8291 in-interface-list =! Протокол WAN = tcp
/ ip сервис
установить telnet disabled = yes
установить ftp disabled = yes
установить api disabled = yes
установить api-ssl disabled = yes
установить порт ssh = 22222
установить www порт = 8888
# измените ниже на свою административную сеть
# установить адрес winbox = 192.168.88.0 / 24
# укажите желаемое имя пользователя администратора ниже
# / пользовательский набор 0 name = myuser
/ ip облако
установить время обновления = нет

# Отключить обнаружение на WAN-порте
/ ip Neighbor discovery-settings установить числа = 0 discover = no

# Принудительное шифрование SSH, предпочитаю 256-битные ключи и хеширование sha256
/ ip ssh установить strong-crypto = yes

# Отключить bandwidth-server, так как он слушает интерфейс WAN
/ tool bandwidth-server set enabled = no

# Отключить прослушивание MAC-сервера на всех интерфейсах, включить только первый мост
/ инструмент Mac-сервер
установить [найти по умолчанию = да] отключено = да
добавить интерфейс = мост1
# Отключить прослушивание MAC-сервера на всех интерфейсах, включить только первый мост
/ инструмент mac-server mac-winbox
установить [найти по умолчанию = да] отключено = да
добавить интерфейс = мост1

Дополнительная информация на https: // wiki.mikrotik.com/wiki/Manual:Securing_Your_Router

Хотите узнать, насколько безопасен ваш маршрутизатор? Проверьте IP-адрес вашего маршрутизатора на https://www.shodan.io/host/x.x.x.x

Очень безопасная настройка

1. Добавьте сертификат для входа и удалите логин по паролю

# Проверить сертификат включен для пользователя
/ пользовательские ssh-ключи распечатать
# 0 R админ 2048 пользователь @ хост
# Запретить вход по паролю
/ ip ssh set always-allow-password-login = no

SSH-сервер RouterOS поддерживает переадресацию портов.Поэтому, если вы хотите управлять удаленным устройством через веб-интерфейс, вы можете открыть службу ssh для WAN, но закрыть http / https. Затем подключитесь к ssh с включенной переадресацией порта на порт 80/443 и используйте веб-интерфейс через туннель.

Маршрутизаторная плата MikroTik | Сеть вещей

Это руководство по настройке для подключения комплекта MikroTik Routerboard wAP wAP LoRa8 к The Things Network.

Соединения #

Для добавления внешней антенны откройте корпус и используйте разъем SMA.

Конфигурация №

1. Загрузите официальный инструмент настройки MicroTik Winbox для Windows. Пользователи Mac могут использовать неофициальное перенесенное приложение. В качестве альтернативы есть еще и мобильное приложение для настройки — ссылка
2. Выполните подключения, как показано в разделе выше.
3. Откройте сетевые подключения на своем ПК, мобильном телефоне или другом устройстве, найдите беспроводную сеть MikroTik и подключитесь к ней.
4. Откройте приложение Winbox и нажмите кнопку Обновить .Если подключение прошло успешно, ваше устройство будет обнаружено, как показано ниже.
5. После подключения к беспроводной сети откройте http://192.168.88.1 в своем веб-браузере, чтобы запустить
   конфигурация, имя пользователя: Admin и нет пароля по умолчанию.
6. Панель мониторинга, которую вы теперь видите, предоставляет множество вариантов конфигурации. Нас интересует только конфигурация LoRa. Выберите LoRa из списка меню слева.
7. Сначала добавьте конфигурацию внутреннего сервера LoRaWAN, выбрав вкладку Серверы .Пример конфигурации для подключения к серверу The Things Network EU показан на изображениях ниже.
8. Теперь выберите вкладку Устройства . Интерфейс вашего шлюза LoRa должен быть виден. Сначала щелкните, чтобы отключить его, прежде чем продолжить.
9. Дважды щелкните шлюз и введите конфигурацию. Выберите сервер The Things Network, который был настроен на предыдущем шаге. Обратите внимание на поле GatewayID , которое является уникальным идентификатором, используемым для настройки этого шлюза в The Things Network.
10. После настройки включите шлюз.
11. Теперь войдите в The Things Network Console и зарегистрируйте свой шлюз при включении . Я использую устаревший перенаправитель пакетов . Если конфигурация прошла успешно, ваш шлюз теперь будет отображаться как подключенный на консоли и готов к приему пакетов LoRa.

Настройка моста mikrotik — Mikrotik Tips

В этой статье будет приведен пример настройки моста mikrotik на маршрутизаторе. этот метод может быть применен к устройствам mikrotik, имеющим более одного интерфейса.Перед реализацией этого руководства убедитесь, что вы понимаете, как работает переключатель.

хорошо, приступим. предпосылка

• Убедитесь, что на вашем маршрутизаторе поддерживается мост функций OS
• ваше устройство имеет более одного интерфейса

routerboard выглядит как коммутатор, зачем нам делать мост? мы можем просто подключить кабель, и он будет работать как обычный выключатель?
Знаете ли вы, что на каждом интерфейсе вашей платы маршрутизатора есть связанный с ним MAC-адрес? да, на каждом порту / интерфейсе.почему на каждый порт? потому что routerboard — это в основном маршрутизатор, а маршрутизатор соединяет сети, и каждый интерфейс будет подключаться к сети, и каждый интерфейс в сети действует как шлюз для клиентов в сети. поэтому каждому интерфейсу нужен IP-адрес (уровень 3), и, следовательно, им также нужна адресация уровня 2.

Поскольку основная конструкция routerboard — это маршрутизатор, а наша цель — создать сеть уровня 2 (сеть с коммутатором), нам нужна функция моста. с функцией моста можно объединить несколько портов в один сегмент.поэтому все порты, подключенные к мосту, станут плоскими, как обычный коммутатор.

вы можете показать мне, как создать мост с 3 портами? шаги очень простые:

1. создать мост (этот интерфейс станет главным интерфейсом ). допустим, мы создаем мост с именем bridge1:
   / interface bridge add name = bridge1 disabled = no protocol-mode = rstp
2. помещает порты (интерфейсы) в мост (эти интерфейсы станут подчиненными интерфейсами ).эти интерфейсы теперь называются портами, как и обычный коммутатор. пример: ether1-ether3 будет помещен в мост1:
   / interface bridge port add bridge = bridge1 interface = ether1
   / interface bridge port add bridge = bridge1 interface = ether2
   / interface bridge port add мост = мост1 интерфейс = ether3
3. Bridge — это гибкая функция, мы можем добавить в мост другие технологии уровня 2. (эти интерфейсы также станут подчиненными интерфейсами ).например Wi-Fi:
   / порт интерфейса моста добавить мост = мост1 интерфейс = wlan1

что происходит с MAC-адресом на интерфейсах, подключенных к мосту? , поскольку мост является устройством уровня 2, MAC-адрес на каждом интерфейсе будет проигнорирован

Не могли бы вы объяснить, что такое главный и подчиненный интерфейсы?
см.